LDAP の getent 実行時の検索可能最大エントリ数調整

[kawaguchi...@jsdnet.co.jp]

川口です。

debian固有の話題ではなく申し訳ございません。

openldap2.4.22でsambaのユーザ、グループを管理しています。
登録数が多いためかクライアントマシンからグループを下記の
ように取得するとldapグループの途中までしか表示されません。

$ getent group

ldapサーバのログを確認すると

slapd[27100]: send_ldap_result: err=4 matched="" text=""
slapd[27100]: conn=1016 op=1 SEARCH RESULT tag=101 err=4 nentries=500 text=

となっており、err=4 で LDAP_SIZELIMIT_EXCEEDED リミットに引っかかっているようです。
(500件の制限)
この制限を緩和したいといろいろ試しているのですが全く変化がありません。
試みたのは、

その１：ldapサーバの/etc/openldap/slapd.confに
sizelimit 0
や
sizelimit unlimited
を追加したが変化なし。

その２：ldapクライアントの /etc/ldap.confに
sizelimit 0
や
sizelimit unlimited
を追加したが変化なし。

その３：ldapクライアントの/etc/openldap/ldap.conf
SIZELIMIT 1000
追加したが変化なし。

どのファイルを調整するのが正解でしょうか?

よろしくお願いします。

[Adachi Junichi]

安達です

(2010年08月17日 12:58), kawaguchi...@jsdnet.co.jp wrote:
> 川口です。
>
> どのファイルを調整するのが正解でしょうか?
>
> よろしくお願いします。
>
>
>
私の経験は、Debian Sergeの
slapd 2.2.23-8
というパッケージのものです。
やはり、500に制限されていました。
サーバーマシン上では制限はないのでなかなか気がつきませんでした。
この時はサーバーの
/etc/ldap/slapd.conf
に
sizelimit unlimited
という1行を書き加えてslapdを再起動し、うまくいきました。
# /etc/init.d/slapd restart

ちなみに
このパッケージではldapの設定は /etc/ldapディレクトリにあります。
root@jonah:~# ll /etc/ldap
total 7
-rw-r--r-- 1 root root 385 Sep 17 2005 ldap.conf
drwxr-xr-x 2 root root 1024 Sep 28 2007 schema
-rw------- 1 root root 4411 Sep 3 2009 slapd.conf
ldap.confはこのマシンがクライアントとして動作するときの設定。
slapd.confがサーバーとして動作するときの設定ですが、
同じディレクトリに存在します。

また、パスワードはnscdでキャッシュされますので
ldapのテストではこのデーモンを一旦止めるのがよいと
いわれています。
# /etc/init.d/nscd stop
もちろん本番稼働では動かした方がいいでしょう

--
安達 順一
ada...@seiai.ed.jp
http://seiai.ed.jp

[kawaguchi...@jsdnet.co.jp]

川口です。

安達様、返信ありがとうございます。

On Wed, 18 Aug 2010 03:16:35 +0900 (JST)
Adachi Junichi <ada...@seiai.ed.jp> wrote:

> /etc/ldap/slapd.conf
> に
> sizelimit unlimited
> という1行を書き加えてslapdを再起動し、うまくいきました。
> # /etc/init.d/slapd restart

普通はそれでうまくいくはずなのですね。

> また、パスワードはnscdでキャッシュされますので
> ldapのテストではこのデーモンを一旦止めるのがよいと
> いわれています。
> # /etc/init.d/nscd stop

使ってないですね。

何か環境の問題かもしれないのでその辺、見直してみます。
ありがとうございました。