connect cez SSH pri vypadnutom LDAP

Pavel Lisy pali na tmapy.cz
Středa Listopad 26 17:07:00 CET 2008 

Jan ' Kozo ' Vajda píše v St 26. 11. 2008 v 13:59 +0100:
> Zdravim ..
> 
> riesim problem s pripojenim na CentOS 4 (4.7) server pocas vypadku LDAP.
> 
> v /etc/nsswitch.conf mam zaznamy:
> passwd:     files ldap
> shadow:     files ldap
> group:      files ldap
> 
> okrem toho, ze neskutocne dlho (minuty) nabieha pri boote (ci restarte 
> sluzby) samotny LDAP server nastava pre mna problem v pripade, ze vobec 
> nebezi.
> 
> sshd ma odmieta prihlasit a v logoch nachadzam hlasky:
> 
> Nov 26 14:47:29 server sshd: nss_ldap: reconnecting to LDAP server 
> (sleeping 16 seconds)...
> Nov 26 14:47:45 server sshd: nss_ldap: failed to bind to LDAP server 
> ldap://127.0.0.1: Can't contact LDAP server
> Nov 26 14:47:45 server sshd: nss_ldap: reconnecting to LDAP server 
> (sleeping 32 seconds)...

Jeste musite nastavit PAM tak, ze staci pouze local user
(v souboru /etc/pam.d/system-auth, je to ten druhy radek)

account     required      /lib/security/$ISA/pam_unix.so broken_shadow
account     sufficient    /lib/security/$ISA/pam_localuser.so
account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account     [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
account     required      /lib/security/$ISA/pam_permit.so



> Logika sice hovori, ze pokial mam prvy v nsswitch.conf files pouzije sa 
> autorizacia voci passwd/shadow realita je taka, ze pokial stihne par 
> krat prebehnut reconnect na LDAP ssh klient mi skonci s tym, ze server 
> mu uzavrel spojenie. A je uplne jedno, ci sa hlasim cez kluc, alebo cez 
> heslo ...
> 
> bind_policy mam nastavenu default (cize hard) ..
> 
> otazok mam viacero:
> 
> - pokial pouzivam LDAP len pre lokalne sluzby mozem nastavit 
> bind_policy na soft bez toho, aby mi to nejako ovplyvnilo funkcnost 
> sluzieb ? (co sa udeje napr. s mailami v prpade, ze je soft a sucasne 
> LDAP nebezi, su odmietnute s hlaskou, ze uzivatel neexistuje ?)
> 
> - viem zmenit nastavenie pam/nsswitch/whatever tak, aby mi sshd 
> pouzivalo vyhradne autorizaciu cez passwd/shadow a/alebo cez kluc a 
> nepokusalo ma s LDAP ?
> 
> - to nikomu nevadi ten par minutovy start LDAP v RHEL based distro ?

Jo vadilo mi to celkem dlouho, nez jsem prisel na to, jak to odstranit.
Nepamatuji si to presne, ale pomohlo neco z techto radku
v /etc/ldap.conf (tusim, ze to bude hlavne ten posledni)

timelimit 30
bind_timelimit 30
bind_policy soft
nss_initgroups_ignoreusers root,ldap

Pavel 

-- 
Pavel Lisy <pali na tmapy.cz>

Další informace o konferenci Linux