Назад | Перейти на главную страницу

Запросы LDAP для локальных пользователей

Недавно в компании, в которой я работаю, произошел общий сбой системы, и мы выясняем причины. Наши машины настроены для аутентификации LDAP плюс некоторые локальные пользователи в некоторых из них. Аутентификация LDAP работает нормально, но мы обнаружили из журнала, что для локальных пользователей есть несколько запросов LDAP и мы думаем, что это могло быть связано с аварией. Я работаю над этой проблемой, меняя модули nsswitch.conf, pam и так далее, но я не могу избавиться от этого вызова LDAP для локальных пользователей. Кто-нибудь знает, как остановить запросы LDAP для локальных пользователей?

Заранее большое спасибо.

На нашей машине установлены SuSE Linux 11 SP2 и OpenLDAP 2.4. Это nsswitch.conf

passwd:         compat
group:          files ldap
hosts:          files dns
networks:       files dns

passwd_compat:  ldap
group_compat:   ldap

ОБНОВИТЬ

Это журнал с сервера LDAP после попытки входа в систему на другой машине от пользователя по имени гость который является локальным для этой машины

Jul 29 11:00:45 vmtemplate slapd[2465]: conn=1627 op=1 SRCH base="dc=test,dc=com" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=guest))"
Jul 29 11:00:45 vmtemplate slapd[2465]: conn=1627 op=2 SRCH base="dc=test,dc=com" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=guest))"
Jul 29 11:00:47 vmtemplate slapd[2465]: conn=1008 op=407 SRCH base="dc=test,dc=com" 

Проще говоря, нельзя, не удалив ldap из nsswitch.conf и побеждает суть упражнения.

Некоторые звонки хотеть эти данные. Простая иллюстрация этого - выполнить следующую команду, которая определенно отключит любой фильтр журнала, за которым заламывают руки ваши коллеги: getent passwd

Это приведет к сбросу всех пользователей как из локальной системы, так и из LDAP. Важно понять, как обрабатываются дублирующиеся имена пользователей / uid, - это визуализировать, что бы произошло, если бы эти дублированные записи были на самом деле в /etc/passwd, в порядке просмотра getent passwd. Это никогда не приводило к каким-либо сбоям, о которых я знаю, иначе любой ужасный поставщик программного обеспечения, который когда-либо добавлял в систему второго пользователя с uid равным 0, немедленно поставил бы машину на колени.