nscd アクティブライブ時間を長く設定する際のリスクを理解する

nscd アクティブライブ時間を長く設定する際のリスクを理解する

私が述べたように他のスレッド、私は24のLinuxサーバーをサポートするLDAPシステムを持っています。さまざまな理由で(ファイアウォールルールの変更、停電など)LDAPサーバーが停止すると、システムの残りの部分も停止します。

私はいくつかの冗長性を構築しようとしましたが、ローカルキャッシュログインの使用に関するこの記事を誤って発見しましnscdsssd

私のすべてのサーバーにはnscdがインストールされており、次の設定があります。

enable-cache            passwd      yes
positive-time-to-live   passwd      600

これはデフォルト設定です。私が正しく理解した場合、nscdはログインごとに10分間パスワードをキャッシュします。

positive-time-to-live予期しないLDAPサーバーのダウンタイムを処理するために1日(86400秒)など、より大きな数に増やすことができるかどうか疑問に思いました。

LDAPサーバーがダウンしたときに24時間以内にログインできますか?

これを行うと危険がありますか?

さまざまなスレッドで同様の目的を見たことsssdがあり、試しましたが、PAMの設定が中断され、すべてのログインに「権限の拒否」が付与されました。理由がわからないので、sssd一度()を削除してくださいnscd

私のすべてのサーバーは、さまざまなLTSバージョンでUbuntuを実行しています。

答え1

私が正しく理解した場合、nscdはログインごとに10分間パスワードをキャッシュします。

いいえ、通常、すべての情報/etc/passwdにあるユーザー情報のみをキャッシュします。とは別にパスワード。これがshadowマッピングです。ただし、ほとんどのLDAP構成はシャドウを使用せず、nsswitchのパスワードハッシュをまったく公開しません。

LDAPサーバーがダウンしたときに24時間以内にログインできますか?

おそらくそうではありません。ほとんどすべての設定では、LDAPを介したログインはnsswitchを介して行われません(例:いいえパスワードハッシュを検索してローカル認証する)これは、PAMが積極的にLDAPサーバーに接続してパスワードを検証することによって行われます。

キャッシュする唯一の方法はPAMを使用することです。 pam_ldapモジュールにキャッシュが組み込まれていない場合は、pam_ccacheこのモジュールをモジュールの上に挿入して同様の機能を提供できます。

または本当に冗長性を探しているなら2番目のLDAPサーバーを設定します。OpenLDAPの「Syncrepl」を使用すると、自動的にデータを複製できます(双方向でも可能)。

(奇妙なことに、LDAPサーバーはネットワークの残りの部分よりも停電に対して脆弱ですが、たとえば、複数の回路がある場合は、停電が少ない回路に2番目のサーバーを配置してください.... ..)

関連情報