Я настраиваю LDAP на кластере машин Ubuntu 14.04.
Я успешно настроил хост LDAP, используя эти инструкции. Теперь я пытаюсь заставить клиента LDAP работать, используя эти инструкции.
ldapsearch работает от клиента (т.е. я могу ldapsearch -x -LLL -h REDACTED -D REDACTED -w REDACTED -b REDACTED с клиентской машины и получите именно те результаты, которых я ожидал).
Однако клиентская машина вообще не видит пользователей LDAP (т.е. getent passwd не показывает пользователей LDAP, sudo su - LDAP_USERNAME на клиентской машине возвращается No passwd entry for user ошибка, ssh LDAP_USERNAME@LDAP_CLIENT получает Permission denied ошибка).
Соответствующие файлы:
/etc/nsswitch.conf
passwd: ldap compat
group: ldap compat
shadow: ldap compat
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
/etc/pam.d/common-session
session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session optional pam_umask.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
session required pam_unix.so
session optional pam_ldap.so
session optional pam_systemd.so
/etc/pam.d/common-auth
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_ldap.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
/etc/pam.d/common-account
account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 default=ignore] pam_ldap.so
account requisite pam_deny.so
account required
/etc/pam.d/common-password
password [success=2 default=ignore] pam_unix.so obscure sha512
password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
password requisite pam_deny.so
password required
Есть идеи относительно того, что могло быть виновником этой проблемы? Если эта информация неполная, не стесняйтесь спрашивать любой дополнительный контекст, который может иметь отношение. Любая помощь будет принята с благодарностью.
РЕДАКТИРОВАТЬ: я вижу следующее в /var/log/auth.log на клиентской машине.
Feb 20 11:19:31 REDACTED nscd: nss_ldap: failed to bind to LDAP server ldap:///REDACTED: Invalid credentials
Feb 20 11:19:31 REDACTED nscd: nss_ldap: reconnecting to LDAP server...
Feb 20 11:19:31 REDACTED nscd: nss_ldap: failed to bind to LDAP server ldap:///REDACTED: Invalid credentials
Feb 20 11:19:31 REDACTED nscd: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Feb 20 11:19:32 REDACTED nscd: nss_ldap: failed to bind to LDAP server ldap:///REDACTED: Invalid credentials
Feb 20 11:19:32 REDACTED nscd: nss_ldap: could not search LDAP server - Server is unavailable
Feb 20 11:19:42 REDACTED nscd: nss_ldap: failed to bind to LDAP server ldap:///REDACTED: Invalid credentials
Feb 20 11:19:42 REDACTED nscd: nss_ldap: reconnecting to LDAP server...
Feb 20 11:19:42 REDACTED nscd: nss_ldap: failed to bind to LDAP server ldap:///REDACTED: Invalid credentials
Feb 20 11:19:42 REDACTED nscd: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Feb 20 11:19:43 REDACTED nscd: nss_ldap: failed to bind to LDAP server ldap:///REDACTED: Invalid credentials
Feb 20 11:19:43 REDACTED nscd: nss_ldap: could not search LDAP server - Server is unavailable
И, повторюсь, я могу подключиться к хосту LDAP через клиент LDAP с помощью ldapsearch, используя тот же пароль, который находится в /etc/ldap.secret
РЕДАКТИРОВАТЬ 2: Я попытался изменить хост-сервер на случай, если это была проблема с брандмауэром (хотя я не знаю, почему ldapsearch будет работать в этом случае). Та же самая проблема.