nscd 활성 라이브 시간을 더 길게 설정할 때의 위험 이해

nscd 활성 라이브 시간을 더 길게 설정할 때의 위험 이해

내가 언급했듯이다른 스레드, 저는 24개의 Linux 서버를 지원하는 LDAP 시스템을 가지고 있습니다. 다양한 이유로(방화벽 규칙 변경, 정전 등) LDAP 서버가 다운되면 시스템의 나머지 부분도 정지됩니다.

저는 약간의 중복성을 구축하려고 하다가 로컬 캐시 로그인 사용에 관한 이 기사를 우연히 발견 nscd했습니다 sssd.

내 모든 서버에는 nscd가 설치되어 있으며 다음 설정이 있습니다.

enable-cache            passwd      yes
positive-time-to-live   passwd      600

이는 기본 설정입니다. 내가 올바르게 이해했다면 nscd는 로그인당 10분 동안 비밀번호를 캐시합니다.

positive-time-to-live예상치 못한 LDAP 서버 가동 중지 시간을 처리하기 위해 하루(86400초)와 같이 더 큰 숫자 로 늘릴 수 있는지 궁금했습니다 .

LDAP 서버가 다운되었을 때 24시간 이내에 로그인할 수 있습니까?

이 작업을 수행하면 위험이 있나요?

다양한 스레드에서 비슷한 목적을 본 적이 sssd있으며 시도했지만 PAM 설정이 중단되고 모든 로그인에 "권한 거부"가 부여되었습니다. 이유를 알 수 없어서 sssd일단 ()을 제거 하고 nscd.

내 모든 서버는 다양한 LTS 버전에서 우분투를 실행하고 있습니다.

답변1

내가 올바르게 이해했다면 nscd는 로그인당 10분 동안 비밀번호를 캐시합니다.

아니요, 일반적으로 모든 정보인 /etc/passwd에 있는 사용자 정보만 캐시합니다.와는 별개로비밀번호. 이것이 shadow매핑입니다. 그러나 대부분의 LDAP 구성은 섀도우를 사용하지 않으며 nsswitch에 대한 비밀번호 해시를 전혀 공개하지 않습니다.

LDAP 서버가 다운되었을 때 24시간 이내에 로그인할 수 있습니까?

아마도 그렇지 않을 것입니다. 거의 모든 설정에서 LDAP를 통한 로그인은 nsswitch를 통해 수행되지 않습니다(예:아니요비밀번호 해시를 검색하여 로컬 인증) 이는 PAM이 적극적으로 LDAP 서버에 접속하여 비밀번호를 검증함으로써 수행됩니다.

캐시하는 유일한 방법은 PAM을 이용하는 것입니다. pam_ldap 모듈에 캐싱이 내장되어 있지 않은 경우 pam_ccache이 모듈을 모듈 위에 삽입하여 유사한 기능을 제공할 수 있습니다.

또는 정말로 중복성을 찾고 있다면두 번째 LDAP 서버를 설정합니다.OpenLDAP의 "Syncrepl"을 사용하면 자동으로 데이터를 복제할 수 있습니다(양방향으로도 가능).

(이상하게도 LDAP 서버는 네트워크의 나머지 부분보다 정전에 더 취약하지만, 예를 들어 회로가 여러 개인 경우 정전이 덜 발생하는 회로에 두 번째 서버를 배치하십시오.... ..)

관련 정보