secldapclntd: LDAP failed to bind to server

Wir hatten kürzlich einen kleineren Ausfall auf einem unserer Systeme. Benutzer konnten sich nicht mehr einloggen und Benutzer konnten eine Web-GUI nicht mehr benutzen. Das Problem trat sporadisch immer mal wieder auf und verschwand dann wieder. Während dieser Zeiten fanden sich im Syslog jede Menge Meldungen der folgenden Art:

Mar  4 07:56:05 aix01 daemon:err|error secldapclntd: LDAP failed to bind to server aixldapp11.
Mar  4 07:56:05 aix01 daemon:err|error secldapclntd: LDAP failed to bind to server aixldapp12.
Mar  4 07:56:10 aix01 daemon:err|error secldapclntd: LDAP failed to bind to server aixldapp11.
Mar  4 07:56:10 aix01 daemon:err|error secldapclntd: LDAP failed to bind to server aixldapp12.
...

Diese Meldungen deuteten daraufhin, das beide LDAP-Server zeitweise nicht erreichbar waren. Untersuchungen der Logs auf den beiden LDAP-Servern ergaben aber keine Verbindungsversuche, die zurückgewiesen worden sind. Und auch eine Untersuchung der Firewall-Logs ergab das die Firewall hier keine Pakete zu den LDAP-Servern geblockt hat.

Wir haben daraufhin einen Case bei IBM eröffnet und bekamen auch prompt Anweisungen für das Aufsetzen eines speziellen LDAP-Tracings zurück. Allerdings ist das Problem dann nicht mehr aufgetreten, und somit konnte durch das Tracing auch die Ursache nicht ermittelt werden.

Das betreffende System ist über das Internet erreichbar und daher wurde die Anzahl der ephemeral Ports aus Sicherheitsgründen eingeschränkt. Nur etwa 1500 ephemeral Ports sind über die Firewall erlaubt und auf AIX konfiguriert (tcp_ephemeral_high und tcp_ephemeral_low). Wir haben auf einem Test-System dann nachgestellt was passiert wenn die verfügbaren ephemeral Ports ausgeschöpft sind. Es kam dann sofort zu den obigen Meldungen, sobald der LDAP-Client eine neue Verbindung aufmachen möchte.

Eine Ursache für die LDAP Client Fehlermeldung „LDAP failed to bind to server“ kann also auch die Nichtverfügbarkeit von ephemeral Ports sein!

%d Bloggern gefällt das: