認証センターとしてUbuntu 14.04とLDAPがあります。 LDAP サーバーがオンラインになるまで正常に動作します。場合によっては、LDAPと他のサーバー間のネットワークがダウンしてLDAPが使用できなくなり、ユーザーはLDAP資格情報を使用してサーバーにログインできなくなります。
nscdがインストールされており、getent passwd $ useridなどのコマンドはLDAPオフライン中に正常に実行されます。私はインターネット上で次のいくつかのマニュアルを試しました。
http://ubuntuforums.org/showthread.php?t=1708785
しかし、これは私には効果がありません。
LDAPオフライン中にLDAP資格情報を使用してサーバーにアクセスする機能を提供するLDAP設定を共有できますか?
答え1
NSCDNSS マップのキャッシュにのみ使用できます。パスワードそしてグループなどですが、PAM関連の操作は処理しません。
返品nss-pam-ldapdまた〜として知られていますNSCDPAMを介して渡されたパスワードログインはキャッシュされません。
しかし、それはまさにそれです。SSD機能:オンラインモードでLDAPのプレーンテキストパスワードを確認し、ソルト処理されたSHA-512ハッシュをキャッシュデータベースに保存します。オフラインモードでパスワードを確認するときは、このパスワードハッシュを使用してください。
その場合は、実際のユースケースについてもっと考える必要があります。
パスワードキャッシュは、旅行中にラップトップでLinuxを使用するときに常に便利です。これは完全なユースケースです。SSD。
ネットワークがダウンすると、より一般的な問題が発生する可能性があります。今自分に尋ねてください:
- 通常のマシンにログインしようとすることは意味がありますか?ネットワークの問題を解決するには、どこかで作業する必要があることは間違いありません。しかし、これはLDAPを統合するLinuxシステムですか?
- データセンターに多数のコンピュータを再配置した場合は、以前にすべてのコンピュータにパスワードを入力しましたか?
ユースケースがあります。ローカルネットワークドライバなどの奇妙な理由で問題が発生し、問題を解決するためにコンソール(BMC経由)を介してログインする必要がある場合は、キャッシュされたパスワードを持つことが便利です。
ただし、ほとんどの場合、オフラインログインは必要なく、使用することもできません。
ぜひ使用したい場合は、SSHを使用しても構いません。緊急事態鍵を保持し、秘密鍵の適切なセキュリティ制御機能を持っています。
PS:はい、これらの中断を防ぐために、データセンターのさまざまなラックに多くのLDAPレプリカを配置することが正しいことです。
答え2
sssdで述べたように、クライアント側のキャッシュを使用することもお勧めしますが、LDAPレプリカを使用するとリスクを軽減することもできます。