У меня проблемы с отработкой отказа аутентификации LDAP. В настоящее время у нас есть два сервера каталогов CentOS-DS, работающих в конфигурации с несколькими мастерами. Один сервер на сайт. Обычно логины обрабатываются нормально. Однако у меня проблемы с отказоустойчивой частью. если ldap_SiteA.domain.local выходит из строя, все серверы в этом месте, которые обычно указывают на это первое, не будут затем смотреть на вторую запись: ldap_siteB.domain.local.
Мы используем ldap как для входа в систему, так и для Sudo. Вот копия моего /etc/ldap.conf на сервере CentOS 5.6, запущенном на сайте A. (для сайта B порядок серверов обратный)
Вот часть сценария, который я написал для аутентификации через LDAP:
authconfig --enableldap --enableldapauth --enablemkhomedir --ldapserver=ldap_siteA.domain.local,ldap_siteB.domain.local --ldapbasedn="dc=domain,dc=local" --update
echo 'sudoers: files ldap' >> /etc/nsswitch.conf
echo 'base dc=domain,dc=local
timelimit 15
bind_policy soft
bind_timelimit 30
idle_timelimit 30
uri ldaps://ldap_siteA.domain.local/
uri ldaps://ldap_siteB.domain.local/
ssl yes
tls_checkpeer no
pam_password clear
#debug used for troubleshooting
#sudoers_debug 2
sudoers_base ou=SUDOers,dc=domain,dc=local
' > /etc/ldap.conf
Мне что-то не хватает для правильной работы аварийного переключения? Кроме того, у нас, кажется, есть несколько хостов, которые любят отключать МНОГО И МНОГО подключений к серверу ldap. Следует ли мне для этого лучше настроить таймауты? пользуетесь сервисом NSCD? обе?
Спасибо!
uri ldaps://ldap_siteA.domain.local/ ldaps://ldap_siteB.domain.local/
Ограниченные локальные реплики лучше, чем nscd, но их сложнее настроить.
Если вы используете ldap для uid / gid, хорошо иметь один или другой.
ls -l /home/ становится шумно.