Недавно в компании, в которой я работаю, произошел общий сбой системы, и мы выясняем причины. Наши машины настроены для аутентификации LDAP плюс некоторые локальные пользователи в некоторых из них. Аутентификация LDAP работает нормально, но мы обнаружили из журнала, что для локальных пользователей есть несколько запросов LDAP и мы думаем, что это могло быть связано с аварией. Я работаю над этой проблемой, меняя модули nsswitch.conf, pam и так далее, но я не могу избавиться от этого вызова LDAP для локальных пользователей. Кто-нибудь знает, как остановить запросы LDAP для локальных пользователей?
Заранее большое спасибо.
На нашей машине установлены SuSE Linux 11 SP2 и OpenLDAP 2.4. Это nsswitch.conf
passwd: compat
group: files ldap
hosts: files dns
networks: files dns
passwd_compat: ldap
group_compat: ldap
ОБНОВИТЬ
Это журнал с сервера LDAP после попытки входа в систему на другой машине от пользователя по имени гость который является локальным для этой машины
Jul 29 11:00:45 vmtemplate slapd[2465]: conn=1627 op=1 SRCH base="dc=test,dc=com" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=guest))"
Jul 29 11:00:45 vmtemplate slapd[2465]: conn=1627 op=2 SRCH base="dc=test,dc=com" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=guest))"
Jul 29 11:00:47 vmtemplate slapd[2465]: conn=1008 op=407 SRCH base="dc=test,dc=com"
Проще говоря, нельзя, не удалив ldap
из nsswitch.conf и побеждает суть упражнения.
Некоторые звонки хотеть эти данные. Простая иллюстрация этого - выполнить следующую команду, которая определенно отключит любой фильтр журнала, за которым заламывают руки ваши коллеги: getent passwd
Это приведет к сбросу всех пользователей как из локальной системы, так и из LDAP. Важно понять, как обрабатываются дублирующиеся имена пользователей / uid, - это визуализировать, что бы произошло, если бы эти дублированные записи были на самом деле в /etc/passwd
, в порядке просмотра getent passwd
. Это никогда не приводило к каким-либо сбоям, о которых я знаю, иначе любой ужасный поставщик программного обеспечения, который когда-либо добавлял в систему второго пользователя с uid равным 0, немедленно поставил бы машину на колени.