LDAP-запросы для локальных пользователей

Question

LDAP-запросы для локальных пользователей

Недавно в компании, где я работаю, произошел общий сбой системы, и мы выясняем причины. Наши машины настроены для аутентификации LDAP, а некоторые из них имеют локальных пользователей. Аутентификация LDAP работает нормально, но мы обнаружили из журнала, что и для локальных пользователей существуют некоторые запросы LDAP, и мы думаем, что это может быть связано с падением. Я работаю над этой проблемой, меняю nsswitch.conf, модули pam и так далее, но я не могу избавиться от этого вызова LDAP для локальных пользователей. У кого-нибудь есть идеи о том, как остановить запросы LDAP для локальных пользователей?

Заранее большое спасибо.

На нашей машине установлены SuSE Linux 11 SP2 и OpenLDAP 2.4. Это nsswitch.conf

passwd:         compat
group:          files ldap
hosts:          files dns
networks:       files dns

passwd_compat:  ldap
group_compat:   ldap

ОБНОВИТЬ

Это журнал, взятый с сервера LDAP после попытки входа в систему на другом компьютере от пользователя с именем guest, который является локальным для этого компьютера.

Jul 29 11:00:45 vmtemplate slapd[2465]: conn=1627 op=1 SRCH base="dc=test,dc=com" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=guest))"
Jul 29 11:00:45 vmtemplate slapd[2465]: conn=1627 op=2 SRCH base="dc=test,dc=com" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=guest))"
Jul 29 11:00:47 vmtemplate slapd[2465]: conn=1008 op=407 SRCH base="dc=test,dc=com"

0

ldap authentication pam nsswitch.conf

Источник

ColOfAbRiX 25 июл '13 в 16:38

1 ответ

Другие вопросы по тегам ldap authentication pam nsswitch.conf

Andrew B 26 июл '13 в 13:28 2013-07-26 13:28 · Answer 1 · 2013-07-26 13:28

Проще говоря, вы не можете, не удаляя ldap от nsswitch.conf и победив суть упражнения.

Некоторые звонки хотят эти данные. Простая иллюстрация этого - запустить следующую команду, которая определенно отключит фильтр журнала, который ваши коллеги смотрят:getent passwd

Это сбросит всех пользователей, как из локальной системы, так и из LDAP. Важно понять, как обрабатываются двойные имена пользователей / идентификаторы, чтобы визуализировать, что произойдет, если эти двойные записи действительно /etc/passwdв порядке, замеченном getent passwd, Это никогда не привело бы к каким-либо сбоям, о которых я знаю, иначе каждый ужасный поставщик программного обеспечения, который когда-либо добавил в систему второго пользователя с идентификатором 0, немедленно поставил бы машину на колени.