LDAPサーバーがオフラインのときにLDAP資格情報を使用してシステムにログインする方法

LDAPサーバーがオフラインのときにLDAP資格情報を使用してシステムにログインする方法

認証センターとしてUbuntu 14.04とLDAPがあります。 LDAP サーバーがオンラインになるまで正常に動作します。場合によっては、LDAPと他のサーバー間のネットワークがダウンしてLDAPが使用できなくなり、ユーザーはLDAP資格情報を使用してサーバーにログインできなくなります。


nscdがインストールされており、getent passwd $ useridなどのコマンドはLDAPオフライン中に正常に実行されます。私はインターネット上で次のいくつかのマニュアルを試しました。 http://ubuntuforums.org/showthread.php?t=1708785 しかし、これは私には効果がありません。

LDAPオフライン中にLDAP資格情報を使用してサーバーにアクセスする機能を提供するLDAP設定を共有できますか?

答え1

NSCDNSS マップのキャッシュにのみ使用できます。パスワードそしてグループなどですが、PAM関連の操作は処理しません。

返品nss-pam-ldapdまた〜として知られていますNSCDPAMを介して渡されたパスワードログインはキャッシュされません。

しかし、それはまさにそれです。SSD機能:オンラインモードでLDAPのプレーンテキストパスワードを確認し、ソルト処理されたSHA-512ハッシュをキャッシュデータベースに保存します。オフラインモードでパスワードを確認するときは、このパスワードハッシュを使用してください。

その場合は、実際のユースケースについてもっと考える必要があります。

パスワードキャッシュは、旅行中にラップトップでLinuxを使用するときに常に便利です。これは完全なユースケースです。SSD

ネットワークがダウンすると、より一般的な問題が発生する可能性があります。今自分に尋ねてください:

  • 通常のマシンにログインしようとすることは意味がありますか?ネットワークの問題を解決するには、どこかで作業する必要があることは間違いありません。しかし、これはLDAPを統合するLinuxシステムですか?
  • データセンターに多数のコンピュータを再配置した場合は、以前にすべてのコンピュータにパスワードを入力しましたか?

ユースケースがあります。ローカルネットワークドライバなどの奇妙な理由で問題が発生し、問題を解決するためにコンソール(BMC経由)を介してログインする必要がある場合は、キャッシュされたパスワードを持つことが便利です。

ただし、ほとんどの場合、オフラインログインは必要なく、使用することもできません。

ぜひ使用したい場合は、SSHを使用しても構いません。緊急事態鍵を保持し、秘密鍵の適切なセキュリティ制御機能を持っています。

PS:はい、これらの中断を防ぐために、データセンターのさまざまなラックに多くのLDAPレプリカを配置することが正しいことです。

答え2

sssdで述べたように、クライアント側のキャッシュを使用することもお勧めしますが、LDAPレプリカを使用するとリスクを軽減することもできます。

関連情報