OpenLDAP mit TLS [was: OpenLDAP slow]

Achim Dreyer adreyer at math.uni-paderborn.de
Sat Jul 13 15:19:01 CEST 2002 

On Tue, 9 Jul 2002, Ingo Luetkebohle wrote:

>> Ich benutze die aktuelle OpenLDAP-Version von debian sid und habe damit
>> extreme Performance-Probleme. Zur Zeit sind ca. 100 Objekte im Verzeichnis
>> und bereits eine einfache Suche dauert ca. 20 Sek., dadurch ist eine
>> interaktive Nutzung nicht möglich/sinnvoll.
>
> Da laeuft definitiv was falsch, eine derartige miese Performance
> ist nicht mal bei komplett unindizierten Daten zu erwarten (zumindest
> nicht bei so wenigen Eintraegen).

Kurz, OpenLDAP ignoriert NSS-Einträge.
Lang:

> grep localhost /etc/hosts
127.0.0.1    localhost loghost localhost.adreyer.de
> grep hosts /etc/nsswitch.conf
hosts:          files dns
> more /etc/host.conf
order hosts,bind
multi on
> more /etc/resolv.conf
search local.net uni-paderborn.de
nameserver 127.0.0.1
> grep localhost /etc/bind/named.conf
zone "localhost" {

=> Netzwerk-Programme sollten zur IP-Auflösung von Rechnernamen x erst auf
/etc/hosts zugreifen, bei neg. Ausgang den lokalen DNS-Server befragen, der
dann an den Namen zusätzlich mit den angehängten Domains ausprobiert (also
x., x.local.net., x.uni-paderborn.de.).

=> Eigentlich kein Problem, da localhost, sowohl in der /etc/hosts, als
auch als firstlevel-Zone im DNS existiert.

=> OpenLDAP scheint aber die /etc/hosts nicht zu benutzen und versucht
den Namen per DNS aufzulösen - da die Maschine nicht dauernd online ist,
läuft die Auflösung als localhost.uni-paderborn.de in einen Timeout und
danach wird erst gegen die firstlevel-Zone localhost. aufgelöst.

=> Abhilfe: Vorzeitige Auflösung gegen firstlevel-Zone:

	> more /etc/resolv.conf
	search local.net . uni-paderborn.de
	nameserver 127.0.0.1

> > [ Wie gut/performant/sinnvoll ist die TLS-Unterstützung ? ]
>
> Gut und sinnvoll: Immer dann, wenn Du nicht nur localhost<->localhost
> arbeitest.  Performant?  Kommt auf die Anwendung an.  Faustregel:
> Je groesser Anzahl-Queries gegenueber Anzahl-Verbindungen desto besser,
> da das Zeitaufwendige der Verbindungsaufbau ist.  Der Aufwand fuer
> die Verschluesselung faellt bei normalen Anwendungen kaum ins Gewicht.
>
> nss_ldap laeuft ganz gut mit TLS, ldapsearch so lala, was Anderes habe
> ich bisher nicht ernsthaft ausprobiert.

.. naja, dann werde ich mal die Version mit TLS kompilieren..


Regards,
Achim Dreyer

---------------------------------------------------------------------------
A. Dreyer, Senior SysAdmin (UNIX & Network) / Internet Security Consultant

More information about the Linux mailing list