Directory Server는 하나의 LDAP 서버를 조회하고 다른 LDAP 서버에서 인증합니다.

tag-icon tag-icon rhel authentication ldap
Directory Server는 하나의 LDAP 서버를 조회하고 다른 LDAP 서버에서 인증합니다.

이전 Centos 디렉터리 서버와 새로운 389 디렉터리 서버가 있습니다. 지금 당장은 sssd를 사용하고 싶지 않으니 이 제안은 고려하지 말자.

RHEL 6.4 서버에서 다음을 수행하고 있습니다.

authconfig --disablesssd --disablesssdauth --enablelocauthorize --enableldap --enableldapauth --ldapserver=ldap://**ldap02** --ldapbasedn=dc=example,dc=com --enablerfc2307bis --enableforcelegacy --update

깨져서 로그인이 안되네요. 내가 할 때 올바른 정보가 표시됩니다.id

uid=3333(myname) gid=134(mygroup) groups=134(mygroup),887(sysadmin)

그러나 authconfig를 이전 서버로 지정한 다음 ldap.conf 설정을 변경하면 작동합니다.

authconfig --disablesssd --disablesssdauth --enablelocauthorize --enableldap --enableldapauth --ldapserver=ldap://**ldap01** --ldapbasedn=dc=example,dc=com --enablerfc2307bis --enableforcelegacy --update

그런 다음 나는 변경하여 /etc/pam_ldap.conf다음 /etc/openldap/ldap.conf을 가리켰습니다.LDAP02. 빙고, 로그인할 수 있지만 내가 속해 있는 sysadmins 그룹을 인식하지 못하는 것 같습니다.

uid=3333(myname) gid=134(mygroup) groups=134(mygroup)

이전 서버에는 sysadmin 그룹이 없었으므로 이는 서버가 여전히 ldap01에 대한 정보를 찾고 있으며 ldap02에서 인증하고 있음을 알려줍니다.

이 이론을 테스트하기 위해 이전 ldap01 서버의 비밀번호를 변경했습니다. 이제 ldap02 비밀번호로만 로그인할 수 있습니다. 그러나 ldap02에서 새 사용자를 생성하고 작업을 수행하면 id해당 사용자가 표시되지 않으며 ldapsearch도 표시되지 않습니다.

서버가 한 서버에서 조회를 수행하고 다른 서버에서는 인증을 수행하는 이유를 아는 사람이 있습니까? 이는 내 RHEL 6 서버에만 영향을 미칩니다. 내 RHEL 5 서버가 제대로 실행되고 있습니다.

pam_ldap.conf 및 ldap.conf의 내용입니다.

ssl start_tls
tls_checkpeer no
TLS_REQCERT allow
TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://ldap02/
BASE dc=example,dc=com

무슨 일인지 아는 사람 있나요?

추가 정보는 다음과 같습니다.

    cat /etc/sysconfig/authconfig
IPADOMAINJOINED=no
USEMKHOMEDIR=no
USEPAMACCESS=no
CACHECREDENTIALS=yes
USESSSDAUTH=no
USESHADOW=yes
USEWINBIND=no
USEDB=no
FORCELEGACY=yes
USEFPRINTD=yes
FORCESMARTCARD=no
PASSWDALGORITHM=md5
USELDAPAUTH=yes
USEPASSWDQC=no
IPAV2NONTP=no
USELOCAUTHORIZE=yes
USECRACKLIB=yes
USEIPAV2=no
USEWINBINDAUTH=no
USESMARTCARD=no
USELDAP=yes
USENIS=no
USEKERBEROS=no
USESYSNETAUTH=no
USESSSD=no
USEHESIOD=no

캐시 문제일 수도 있지만 nscd가 중지되었습니다...

좋아, 마침내 문제의 일부를 발견했습니다. /etc/nslcd.conf에 ldap01 항목이 있습니다. 변경하고 nslcd와 poof를 다시 시작했는데..다시 로그인이 안되네요. 다시 lda01로 변경했고 ldap02의 비밀번호를 사용하여 다시 로그인할 수 있습니다. 정말 이상해요.

답변1

따라서 대답은 RHEL의 최소 설치에는 기본 셸인 ksh가 포함되지 않는다는 것입니다. Bash가 없는 HP-UX 시스템과의 호환성 문제가 있기 때문에 ksh를 사용하고 있습니다. 최소 설치로 모든 기본 쉘이 설치되지 않는 이유는 나를 혼란스럽게 합니다. secure로그를 더 일찍 확인하지 않은 죄로 지옥에 던져 져야 할 것 같습니다 . 로그에 비슷한 내용이 포함될 것이라고 가정합니다 messages.

관련 정보