J'ai deux machines sous FreeBSD 7.x, que j'ai configurées pour utiliser
le LDAP uniquement pour les connexions SSH et sudo.
En tout cas, c'est ce que je croyais jusqu'à ce que le LDAP tombe et que
plus rien ne fonctionne sur la machine :
(extrait de /var/log/messages)
cron[86046]: nss_ldap: could not search LDAP server - Server is
unavailable
pax: nss_ldap: could not search LDAP server - Server is unavailable
pax: nss_ldap: could not search LDAP server - Server is unavailable
pax: nss_ldap: could not search LDAP server - Server is unavailable
top: nss_ldap: could not search LDAP server - Server is unavailable
xinetd[86537]: nss_ldap: could not search LDAP server - Server is
unavailable
cron[86540]: nss_ldap: could not search LDAP server - Server is
unavailable
cron[86553]: nss_ldap: could not search LDAP server - Server is
unavailable
cron[86552]: nss_ldap: could not search LDAP server - Server is
unavailable
pax: nss_ldap: could not search LDAP server - Server is unavailable
pax: nss_ldap: could not search LDAP server - Server is unavailable
sudo: nss_ldap: could not search LDAP server - Server is unavailable
Dans le même ordre d'idée, Postfix s'est pris les pieds dans le LDAP,
alors que rien dans sa config ne pointe vers le LDAP :
smtp/bounce[92176]: nss_ldap: failed to bind to LDAP server
ldap://MONLDAP: Can't contact LDAP server
smtp/bounce[92176]: nss_ldap: reconnecting to LDAP server (sleeping 8
seconds)...
postfix-mailgw/cleanup[92148]: nss_ldap: reconnected to LDAP server
ldap://MONLDAP after 4 attempts
smtp/bounce[92176]: nss_ldap: reconnected to LDAP server ldap://MONLDAP
after 3 attempts
postfix-mailgw/bounce[92154]: nss_ldap: reconnected to LDAP server
ldap://ldappublic.univ-lyon2.fr after 4 attempts
postfix-smtp-listes/scache[92161]: nss_ldap: reconnected to LDAP server
ldap://MONLDAP after 4 attempts
postfix-smtp-listes/smtp[92160]: nss_ldap: reconnected to LDAP server
ldap://MONLDAP after 4 attempts
Comment puis-je me prémunir de ce genre de problème ? (à part en
consolidant le LDAP, il ne dépend pas de moi).
Ma config s'appuie sur un /etc/pam.d/sshd modifié pour utiliser le LDAP
et un /usr/local/etc/pam.d/sudo qui pointe non plus vers system, mais
vers sshd.
/usr/local/etc/nss_ldap.conf est un lien vers /usr/local/etc/ldap.conf
Y-a-t'il un moyen de découpler le login ssh+sudo du reste ? Je veux
juste que certaines personnes présentes dans le LDAP puisse se connecter
à la machine et faire un sudo. Je ne veux pas que cron, xinetd, smtpd et
autres process ne fonctionnent plus, ou très mal, quand le LDAP tombe.
patpro
--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
Le 7 décembre 2010 à 16:59, patpro ~ Patrick Proniewski a écrit :
/.../
> Et surtout j'ai dans /etc/groups un groupe avec des logins du LDAP. > > Ça voudrait dire qu'à chaque requête sur group j'aurai obligatoirement > des requêtes sur le LDAP ? Si c'est ça, le cache va bien aider...
C'est bien de là que vient ton problème - c'est le fichier groups qui contient des utilisateurs et non l'inverse ; ergo, tu es obligé d'énumérer tous les groupes (locaux & ldap) pour connaître la liste des groupes auxquels appartient un utilisateur, quel qu'il soit...
Ma solution a généralement été de laisser en fichiers la gestion des groupes.
je vois ce que tu veux dire. Je vais de ce pas virer le "ldap" de la ligne groups dans le nsswitch.conf, parce qu'en plus elle ne sert à rien. La prochaine fois que je suis un howto, j'essayerai d'être un peu plus critique (et aventureux).
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
In article <12ff6nwk5a1xv$.dlg@laphroaig.lacave.local>,
"F. Senault" <fred@lacave.net> wrote:
Le 7 décembre 2010 à 16:59, patpro ~ Patrick Proniewski a écrit :
/.../
> Et surtout j'ai dans /etc/groups un groupe avec des logins du LDAP.
>
> Ça voudrait dire qu'à chaque requête sur group j'aurai obligatoirement
> des requêtes sur le LDAP ? Si c'est ça, le cache va bien aider...
C'est bien de là que vient ton problème - c'est le fichier groups qui
contient des utilisateurs et non l'inverse ; ergo, tu es obligé
d'énumérer tous les groupes (locaux & ldap) pour connaître la liste des
groupes auxquels appartient un utilisateur, quel qu'il soit...
Ma solution a généralement été de laisser en fichiers la gestion des
groupes.
je vois ce que tu veux dire. Je vais de ce pas virer le "ldap" de la
ligne groups dans le nsswitch.conf, parce qu'en plus elle ne sert à rien.
La prochaine fois que je suis un howto, j'essayerai d'être un peu plus
critique (et aventureux).
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Le 7 décembre 2010 à 16:59, patpro ~ Patrick Proniewski a écrit :
/.../
> Et surtout j'ai dans /etc/groups un groupe avec des logins du LDAP. > > Ça voudrait dire qu'à chaque requête sur group j'aurai obligatoirement > des requêtes sur le LDAP ? Si c'est ça, le cache va bien aider...
C'est bien de là que vient ton problème - c'est le fichier groups qui contient des utilisateurs et non l'inverse ; ergo, tu es obligé d'énumérer tous les groupes (locaux & ldap) pour connaître la liste des groupes auxquels appartient un utilisateur, quel qu'il soit...
Ma solution a généralement été de laisser en fichiers la gestion des groupes.
je vois ce que tu veux dire. Je vais de ce pas virer le "ldap" de la ligne groups dans le nsswitch.conf, parce qu'en plus elle ne sert à rien. La prochaine fois que je suis un howto, j'essayerai d'être un peu plus critique (et aventureux).
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
