在 centos 中對 ldap 進行身份驗證
我正在嘗試將 centos 設置為對伺服器 2003 AD 進行身份驗證。我執行 authconfig-gtk 並為“使用者資訊”和“身份驗證”選擇 ldap 並將其配置為
基礎 dn:dc=test,dc=com
ldap 伺服器:192.168.0.1 且無 TLS 加密(需要先執行)
在選項頁面上
記憶體使用者資訊,使用影子密碼,密碼雜湊算法md5,本地使用者本地授權就足夠了,首次登錄創建家目錄
但它不會讓我使用 AD 帳戶 ssh 進入盒子。即使我登錄本地帳戶,也會有巨大的延遲。1-5分鐘。
我在 /var/log/secure 中不斷收到這些錯誤,但Google搜尋它們並沒有幫助。
nss_ldap:重新連接到 LDAP 伺服器(休眠 4 秒)
nss_ldap:重新連接到 LDAP 伺服器(休眠 8 秒)
我已經在 AD 上安裝了 SFU3.5 並為測試使用者填寫了 unix 標籤。
在開始之前,請確保您同時關注
/var/log/secureAND/var/log/messages; secure 會給你來自 pam 的錯誤,但是消息會給你來自 ssh 的錯誤(即來自查詢 LDAP 的錯誤):tail -f -n0 /var/log/{messages,secure}因此,我們在工作中具有相同的設置(使用 AD 伺服器 2003)。因為聽起來您已經讓 pam 訪問了 LDAP(因為當您嘗試登錄時它失敗了),所以讓我們檢查
/etc/ldap.conf.首先,將 bind_policy 從硬設置為軟;hard 將嘗試重複連接,以指數方式增加嘗試之間的睡眠時間(這些是您在 中看到的錯誤
/var/log/secure)。將其設置為軟將消除您在使用本地帳戶時的延遲。bind_policy soft接下來,驗證您是否使用了正確的連接設置(ssl、tls 等);您也可以使用
ldapsearch更詳細的方式進行測試。不幸的是,如果沒有更多的調試輸出(設置了什麼伺服器、從 LDAP 查詢返回了哪些錯誤消息、配置文件),恐怕沒有人能提供太多幫助。希望這可以幫助您走上正軌!
安德魯