Linux пользователи в LDAP настройка таймаута

0

1

Добрый день.

Есть идея - держать пользователей рабочих мест в LDAP и иметь гостевой логин на случай отсутствия сети, т.е. аналог домена.

При неработающей сети начинаются тормоза при логине.

Если измерить время запроса к LDAP, получим следующее

temp@Main-LinuxXX:~$ time id user1
id: «user1»: такого пользователя нет

real 0m10,031s
user 0m0,005s
sys 0m0,016s

Как можно решить проблему или как сделать желаемое правильно?

Ссылка

←	Сделать proxy сервер c использованием wlan ( wifi) возможно?

Docker Swarm / Kubernetes

→

Я, в свое время делал на убунте лдап через sssd. Хомяки были местные, а через нфс монтировалась ещё пользовательская шара.

Мне норм.

aol ★★★★★
(28.07.18 15:49:41 MSK)
Последнее исправление: aol 28.07.18 15:51:01 MSK (всего исправлений: 1)

Ссылка

Как можно решить проблему или как сделать желаемое правильно?

https://www.google.com/search?client=ubuntu&channel=fs&q=linux ldap a...

~~mos~~ ★★☆☆☆
(28.07.18 16:36:29 MSK)

Ответ на: комментарий от mos 28.07.18 16:36:29 MSK

Наверное вы не поняли, но LDAP уже поднят с пользователями.

Система авторизует пользователей, создает папки в home с файлами из /etc/skel, если логин производится впервые.

Проблема в тормозах, при недоступности сервера.

Пример - есть главный офис, где поднят LDAP. В этом офисе сеть есть всегда и клиенты не тупят при запросах к LDAP.

Помимо этого имеются удаленные офисы, которые по туннелю подключены к главному, так проблема возникает при падении этого туннеля. nsswitch или pam многократно пытаются подключиться к недоступному серверу LDAP.

RUVanillaBear
(28.07.18 16:52:48 MSK) автор топика

Ответ на: комментарий от RUVanillaBear 28.07.18 16:52:48 MSK

ну так настраивайте pam/nsswitch
или берите sssd и настраивайте его

~~mos~~ ★★☆☆☆
(28.07.18 17:03:26 MSK)

Ссылка

Ответ на: комментарий от RUVanillaBear 28.07.18 16:52:48 MSK

У sssd есть кеш. Работает отлично уже 5 лет по вашей схеме.

~~paganmind~~ ★
(29.07.18 01:23:29 MSK)

Ответ на: комментарий от RUVanillaBear 28.07.18 16:52:48 MSK

Поднять в удаленных офисах LDAP slave-сервера для главного master'а в основном офисе и авторизоваться на ближайшем к хосту slave. Будет работать независимо от кешей, после полного отключения и недоступности master'а неделями...

VitalkaDrug ★★
(29.07.18 08:06:59 MSK)

Ссылка

Ответ на: комментарий от paganmind 29.07.18 01:23:29 MSK

Снес libnss-ldap и начал настраивать sssd.

Появилась иная проблема.

Подключил sss в nsswitch и в pam.d

Пользователей я вижу, но при попытке логина получаю

Jul 29 14:54:27 Main-LinuxXX login[5121]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty3 ruser= rhost= user=testuser

Jul 29 14:54:27 Main-LinuxXX login[5121]: pam_sss(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty3 ruser= rhost= user=testuser

Jul 29 14:54:27 Main-LinuxXX login[5121]: pam_sss(login:auth): received for user testuser: 6 (Permission denied)

Jul 29 14:54:31 Main-LinuxXX login[5121]: FAILED LOGIN (1) on '/dev/tty3' FOR 'testuser', Authentication failure

При getent passwd testuser получаю: testuser:*:10001:10002:testuser:/home/testuser:/bin/bash т.е. ldap отдает данные

Пароли хранятся в md5

RUVanillaBear
(29.07.18 13:04:44 MSK) автор топика

Ответ на: комментарий от RUVanillaBear 29.07.18 13:04:44 MSK

Вопрос решился.

На стороне ldap был отключен tls, а где-то упоминалось что sssd не работает через небезопасные каналы.

Остался единственный вопрос. При accsess_provider = ldap получаем access denied, даже если прописана строка ldap_access_filter = memberOf=cn=head,ou=group,dc=domain,dc=org.

Соответственно, все учётки внесены в группу head.

Что может быть не так?

RUVanillaBear
(29.07.18 22:51:40 MSK) автор топика