사용자 인증에 LDAP를 사용합니다.오직(아래 nsswitch.conf) Ubuntu 18.04. 그러나 시작 시 호스트가 LDAP 서버에 연결할 수 없으면 NTP 및 DNS에 의해 시작이 차단됩니다.
LDAP 통합은 ldap-auth-client(sssd 아님)에 의해 구현됩니다.
A start job is running for Network Name Resolution
A start job is running for Network Time Synchronization
nsswitch.conf에서 LDAP 항목을 제거하면 시스템이 부팅될 수 있습니다.
종속성을 제거하고 호스트가 시작되도록 허용할 수 있나요?
nsswitch.conf:
passwd: compat systemd ldap
group: compat systemd ldap
shadow: compat ldap
gshadow: files
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
답변1
정상 작동 및 정상 시작 시 다수의 사용자 ID(uid), 그룹 ID(gid), 그룹 회원 인증이 수행될 수 있습니다. 사용자/그룹 조회를 위해 LDAP를 구성한 경우 LDAP 서버와 통신하는 데 문제가 있으면 문제가 될 수 있습니다. 시스템 계정(예: ntp, 루트)을 처리하는 작업을 시작하더라도 LDAP 조회가 발생할 수 있습니다. 특정 계정(예: 시스템 계정)에 대한 특정 LDAP 조회를 방지하도록 클라이언트 시스템에 지시하는 방법이 있습니다. LDAP는 어쨌든 어떤 이점이나 정보도 제공하지 않을 것입니다.
내 추측으로는 /etc/ldap.conf 파일에 "nss_initgroups_ignoreusers" 항목을 추가하면 시작 지연/차단 문제를 해결할 수 있을 것 같습니다.
/etc/ldap.conf의 항목 예:
nss_initgroups_ignoreusers ntp
그러나 "nss_initgroups_ignoreusers" 항목이 아직 존재하지 않는 이유를 모르겠습니다. ldap-auth-client가 포함된 Ubuntu 18.04가 있으므로 libnss-ldap(ldap-auth-client의 종속성)을 설치하고 libnss-ldap을 사용하면 /etc/init.d/libnss - ldap을 얻을 수 있기를 바랍니다. , nssldap-update-ignoreusers를 호출합니다. nssldap-update-ignoreusers는 nss_initgroups_ignoreusers에 대한 항목을 생성합니다.
ldap.conf를 직접 편집하는 대신 루트로 또는 sudo를 사용하여 nssldap-update-ignoreusers를 수동으로 실행해 볼 수 있습니다. 실제로 이는 위의 "ntp" 전용 예보다 더 나을 수 있습니다. LDAP 그룹을 조회할 때 무시할 사용자 목록):
nssldap-update-ignoreusers
nssldap-update-ignoreusers가 diff 파일을 어딘가에 저장하더라도 작업을 수행하기 전에 ldap.conf 파일의 복사본을 저장할 수 있습니다.