Linux

在 centos 中對 ldap 進行身份驗證

  • August 28, 2010

我正在嘗試將 centos 設置為對伺服器 2003 AD 進行身份驗證。我執行 authconfig-gtk 並為“使用者資訊”和“身份驗證”選擇 ldap 並將其配置為

基礎 dn:dc=test,dc=com

ldap 伺服器:192.168.0.1 且無 TLS 加密(需要先執行)

在選項頁面上

記憶體使用者資訊,使用影子密碼,密碼雜湊算法md5,本地使用者本地授權就足夠了,首次登錄創建家目錄

但它不會讓我使用 AD 帳戶 ssh 進入盒子。即使我登錄本地帳戶,也會有巨大的延遲。1-5分鐘。

我在 /var/log/secure 中不斷收到這些錯誤,但Google搜尋它們並沒有幫助。

nss_ldap:重新連接到 LDAP 伺服器(休眠 4 秒)

nss_ldap:重新連接到 LDAP 伺服器(休眠 8 秒)

我已經在 AD 上安裝了 SFU3.5 並為測試使用者填寫了 unix 標籤。

在開始之前,請確保您同時關注/var/log/secureAND /var/log/messages; secure 會給你來自 pam 的錯誤,但是消息會給你來自 ssh 的錯誤(即來自查詢 LDAP 的錯誤):

tail -f -n0 /var/log/{messages,secure}

因此,我們在工作中具有相同的設置(使用 AD 伺服器 2003)。因為聽起來您已經讓 pam 訪問了 LDAP(因為當您嘗試登錄時它失敗了),所以讓我們檢查/etc/ldap.conf.

首先,將 bind_policy 從硬設置為軟;hard 將嘗試重複連接,以指數方式增加嘗試之間的睡眠時間(這些是您在 中看到的錯誤/var/log/secure)。將其設置為軟將消除您在使用本地帳戶時的延遲。

bind_policy soft

接下來,驗證您是否使用了正確的連接設置(ssl、tls 等);您也可以使用ldapsearch更詳細的方式進行測試。不幸的是,如果沒有更多的調試輸出(設置了什麼伺服器、從 LDAP 查詢返回了哪些錯誤消息、配置文件),恐怕沒有人能提供太多幫助。

希望這可以幫助您走上正軌!

安德魯

引用自:https://serverfault.com/questions/175441