인증 센터로 Ubuntu 14.04 및 LDAP가 있습니다. LDAP 서버가 온라인 상태가 될 때까지는 정상적으로 작동합니다. 때때로 LDAP와 다른 서버 사이의 네트워크가 다운되고 LDAP를 사용할 수 없게 되어 사용자가 LDAP 자격 증명을 사용하여 서버에 로그인할 수 없습니다.
nscd를 설치했으며 getent passwd $userid와 같은 명령은 LDAP 오프라인 중에 성공적으로 실행됩니다 . 나는 인터넷에서 다음과 같은 몇 가지 매뉴얼을 시도했습니다.
http://ubuntuforums.org/showthread.php?t=1708785
그러나 이것은 나에게 효과가 없습니다.
여러분, LDAP 오프라인 중에 LDAP 자격 증명을 사용하여 서버에 액세스하는 기능을 제공하는 LDAP 구성을 공유할 수 있습니까?
답변1
NSCDNSS 맵을 캐시하는 데에만 사용할 수 있습니다.비밀번호그리고그룹등이지만 PAM 관련 작업은 처리하지 않습니다.
반품nss-pam-ldapd또한 ~으로 알려진NSCDPAM을 통해 전달된 비밀번호 로그인은 캐시되지 않습니다.
하지만 그게 바로 그거야SSD기능: 온라인 모드에서 LDAP에 대해 일반 텍스트 비밀번호를 확인하고 솔트 처리된 SHA-512 해시를 캐시 데이터베이스에 저장합니다. 오프라인 모드에서 비밀번호를 확인할 때 이 비밀번호 해시를 사용하세요.
그렇다면 실제 사용 사례에 대해 더 많이 생각해야 합니다.
비밀번호 캐싱은 여행 중에 노트북에서 Linux를 사용할 때 항상 유용합니다. 이는 완벽한 사용 사례입니다.SSD.
네트워크가 다운되면 보다 일반적인 문제가 발생할 수 있습니다. 이제 스스로에게 물어보세요:
- 일반 기계에 로그인을 시도하는 것이 의미가 있습니까? 네트워크 문제를 해결하려면 어딘가에서 일해야 한다는 것은 의심의 여지가 없습니다. 하지만 이것이 LDAP를 통합하는 Linux 시스템입니까?
- 데이터 센터에 많은 컴퓨터를 재배치한 경우 이전에 모든 컴퓨터에 비밀번호를 제공했습니까?
사용 사례가 있습니다. 로컬 네트워크 드라이버와 같은 이상한 이유로 인해 문제가 발생하고 문제를 해결하기 위해 콘솔(BMC를 통해)을 통해 로그인해야 하는 경우 캐시된 비밀번호를 갖는 것이 유용할 것입니다.
그러나 대부분의 경우 오프라인 로그인이 필요하지 않으며 사용할 수도 없습니다.
꼭 사용하고 싶다면 SSH를 사용해도 됩니다.긴급 상황키를 보유하고 개인 키에 대한 적절한 보안 제어 기능을 갖습니다.
추신: 예, 이러한 중단을 방지하려면 데이터 센터의 다양한 랙에 많은 LDAP 복제본을 두는 것이 옳은 일입니다.
답변2
sssd에서 언급한 것처럼 클라이언트 측 캐싱을 사용하는 것도 권장하지만 LDAP 복제본을 사용하면 위험을 줄일 수도 있습니다.