Сервер каталогов, выполняющий поиск на одном сервере ldap и авторизацию на другом сервере ldap

У меня есть старый сервер Centos Directory Server и новый 389 Directory Server. Я не хочу использовать sssd в данный момент, поэтому давайте оставить это предложение со стола.

Я выполняю следующие серверы RHEL 6.4:

authconfig --disablesssd --disablesssdauth --enablelocauthorize --enableldap --enableldapauth --ldapserver=ldap://**ldap02** --ldapbasedn=dc=example,dc=com --enablerfc2307bis --enableforcelegacy --update 

Он сломался и не позволит мне войти. Он показывает правильную информацию, когда я делаю id

 uid=3333(myname) gid=134(mygroup) groups=134(mygroup),887(sysadmin) 

Но если я укажу authconfig на старый сервер, а затем измените настройки ldap.conf, он будет работать:

 authconfig --disablesssd --disablesssdauth --enablelocauthorize --enableldap --enableldapauth --ldapserver=ldap://**ldap01** --ldapbasedn=dc=example,dc=com --enablerfc2307bis --enableforcelegacy --update 

Затем я изменяю /etc/pam_ldap.conf и /etc/openldap/ldap.conf чтобы указать на ldap02 . Бинго Я могу войти в систему, но, похоже, он не признает группу sysadmin, в которой я участвую.

 uid=3333(myname) gid=134(mygroup) groups=134(mygroup) 

У старого сервера нет группы sysadmin, поэтому мне сообщается, что сервер по-прежнему ищет информацию о ldap01 и выполняет аутентификацию с ldap02.

Чтобы проверить эту теорию, я сменил свои пароли на старом сервере ldap01. Теперь я могу войти только с паролем ldap02. Но когда я создаю нового пользователя на ldap02 и делаю id он не появляется, и он не делает ldapsearch.

Любой может понять, почему сервер выполняет поиск на одном сервере и аутентификацию на другом. Это влияет только на мои серверы RHEL 6. Мои серверы RHEL 5 работают отлично.

Вот содержимое pam_ldap.conf и ldap.conf

 ssl start_tls tls_checkpeer no TLS_REQCERT allow TLS_CACERTDIR /etc/openldap/cacerts URI ldap://ldap02/ BASE dc=example,dc=com 

Кто-нибудь знает, что здесь происходит?

Вот дополнительная информация, если это помогает:

  cat /etc/sysconfig/authconfig IPADOMAINJOINED=no USEMKHOMEDIR=no USEPAMACCESS=no CACHECREDENTIALS=yes USESSSDAUTH=no USESHADOW=yes USEWINBIND=no USEDB=no FORCELEGACY=yes USEFPRINTD=yes FORCESMARTCARD=no PASSWDALGORITHM=md5 USELDAPAUTH=yes USEPASSWDQC=no IPAV2NONTP=no USELOCAUTHORIZE=yes USECRACKLIB=yes USEIPAV2=no USEWINBINDAUTH=no USESMARTCARD=no USELDAP=yes USENIS=no USEKERBEROS=no USESYSNETAUTH=no USESSSD=no USEHESIOD=no 

Я, хотя это также может быть проблемой кэширования, но nscd остановлен …


Ну, я наконец нашел часть проблемы. В файле letap01 была запись в файле /etc/nslcd.conf. Я изменил его и перезапустил nslcd и poof .. Я не могу войти снова. Я поменял его на lda01, и я снова могу войти в систему с паролем ldap02. Это так странно.

  • Копирование каталога из одной папки в другую не работает
  • Запуск множественного разграничения между локальными и удаленными файлами
  • Предупреждение Prelink на выходе rpm -Va
  • Изменение размера окна до половины ширины экрана в KDE 3.5
  • Red Hat и Windows 7 с двойной загрузкой
  • Что означает eno в имени сетевого интерфейса «eno16777736» для CentOS 7 или RHEL 7?
  • Поворот файлов журнала Apache
  • Запустите getty на последовательном порту при запуске на RHEL
  • One Solution collect form web for “Сервер каталогов, выполняющий поиск на одном сервере ldap и авторизацию на другом сервере ldap”

    Таким образом, ответ заключался в том, что минимальные установки RHEL не включают ksh, который является моей оболочкой по умолчанию. Я использую ksh из-за проблем с совместимостью с нашими машинами HP-UX, у которых нет Bash. Почему установка miminum не устанавливает все основные оболочки, это то, что меня озадачивает. Я думаю, что я заслуживаю того, чтобы его нивелировали в ад, чтобы раньше не проверять secure журнал. Я предположил, что что-то подобное будет в журнале messages .

    Linux и Unix - лучшая ОС в мире.