connect cez SSH pri vypadnutom LDAP
Pavel Lisy
pali na tmapy.cz
Středa Listopad 26 17:07:00 CET 2008
Jan ' Kozo ' Vajda píše v St 26. 11. 2008 v 13:59 +0100:
> Zdravim ..
>
> riesim problem s pripojenim na CentOS 4 (4.7) server pocas vypadku LDAP.
>
> v /etc/nsswitch.conf mam zaznamy:
> passwd: files ldap
> shadow: files ldap
> group: files ldap
>
> okrem toho, ze neskutocne dlho (minuty) nabieha pri boote (ci restarte
> sluzby) samotny LDAP server nastava pre mna problem v pripade, ze vobec
> nebezi.
>
> sshd ma odmieta prihlasit a v logoch nachadzam hlasky:
>
> Nov 26 14:47:29 server sshd: nss_ldap: reconnecting to LDAP server
> (sleeping 16 seconds)...
> Nov 26 14:47:45 server sshd: nss_ldap: failed to bind to LDAP server
> ldap://127.0.0.1: Can't contact LDAP server
> Nov 26 14:47:45 server sshd: nss_ldap: reconnecting to LDAP server
> (sleeping 32 seconds)...
Jeste musite nastavit PAM tak, ze staci pouze local user
(v souboru /etc/pam.d/system-auth, je to ten druhy radek)
account required /lib/security/$ISA/pam_unix.so broken_shadow
account sufficient /lib/security/$ISA/pam_localuser.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
account required /lib/security/$ISA/pam_permit.so
> Logika sice hovori, ze pokial mam prvy v nsswitch.conf files pouzije sa
> autorizacia voci passwd/shadow realita je taka, ze pokial stihne par
> krat prebehnut reconnect na LDAP ssh klient mi skonci s tym, ze server
> mu uzavrel spojenie. A je uplne jedno, ci sa hlasim cez kluc, alebo cez
> heslo ...
>
> bind_policy mam nastavenu default (cize hard) ..
>
> otazok mam viacero:
>
> - pokial pouzivam LDAP len pre lokalne sluzby mozem nastavit
> bind_policy na soft bez toho, aby mi to nejako ovplyvnilo funkcnost
> sluzieb ? (co sa udeje napr. s mailami v prpade, ze je soft a sucasne
> LDAP nebezi, su odmietnute s hlaskou, ze uzivatel neexistuje ?)
>
> - viem zmenit nastavenie pam/nsswitch/whatever tak, aby mi sshd
> pouzivalo vyhradne autorizaciu cez passwd/shadow a/alebo cez kluc a
> nepokusalo ma s LDAP ?
>
> - to nikomu nevadi ten par minutovy start LDAP v RHEL based distro ?
Jo vadilo mi to celkem dlouho, nez jsem prisel na to, jak to odstranit.
Nepamatuji si to presne, ale pomohlo neco z techto radku
v /etc/ldap.conf (tusim, ze to bude hlavne ten posledni)
timelimit 30
bind_timelimit 30
bind_policy soft
nss_initgroups_ignoreusers root,ldap
Pavel
--
Pavel Lisy <pali na tmapy.cz>
Další informace o konferenci Linux