/etc/nsswitch.conf arquivo não está funcionando corretamente

Navegue suas respostas
1

Eu tenho um pequeno problema em relação à maneira como meus usuários são autenticados.

Meu debian 7 está conectado a um servidor LDAP usando /etc/libnss-ldap.conf

Eu tenho alguns usuários locais e alguns usuários do ldap.

No arquivo nsswitch.conf, eu quero que os usuários pesquisem primeiro nos "arquivos" e somente em "ldap" se não forem encontrados em "arquivos".

O problema é que, para um usuário local que faz o monitoramento (nagios), tenho alguns tempos limite em minhas verificações. Quando tento "su nagios", demora muito tempo!

Quando eu tento "strace su nagios", posso ver que há muita solicitação para o servidor LDAP, por que isso?

Aqui está o conteúdo do nsswitch: 

passwd:         files [SUCCESS=return] ldap
group:          files [SUCCESS=return] ldap
shadow:         files [SUCCESS=return] ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup: nis

Eu suspeito de algo nos arquivos que estão em /etc/pam.d. aqui está o conteúdo de alguns arquivos:

conta comum: 

account [success=2 new_authtok_reqd=done default=ignore]    pam_unix.so broken_shadow
account [success=1 default=ignore]  pam_ldap.so 
account requisite           pam_deny.so
account required            pam_permit.so

common-auth: 

auth    [success=2 default=ignore]  pam_unix.so nullok_secure
auth    [success=1 default=ignore]  pam_ldap.so use_first_pass
auth    requisite           pam_deny.so
auth    required            pam_permit.so
auth    optional    pam_mount.so 
auth    optional            pam_smbpass.so migrate

senha comum: 

password    [success=2 default=ignore]  pam_unix.so obscure sha512
password    [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
password    requisite           pam_deny.so
password    required            pam_permit.so
password    optional            pam_smbpass.so nullok use_authtok use_first_pass

Thx com muita antecedência

    
por vercetty92 26.09.2016 / 18:04

1 resposta

0

Valeria a pena usar strace e revisar a saída para identificar qual banco de dados (passwd, grupo, outro) su está consultando quando está fazendo as pesquisas LDAP.

Parece que está pesquisando no diretório LDAP para encontrar todos os grupos aos quais a conta de destino pertence. A solução foi definir nss_base_group em /etc/libnss-ldap.conf para reduzir o espaço de pesquisa.

    
por 17.10.2016 / 21:44

Tags

O YouTrack não funciona com o proxy nginx Conexão fechada pelo host remoto Não foi possível ler o pacote: Conexão redefinida pelo par