LDAP 關閉時使用者如何登錄？

如果 linux 伺服器使用 LDAP 進行身份驗證，並且 LDAP 伺服器由於某種原因關閉，使用者如何登錄？

我想答案是他們不能？所以我想我真正要問的是系統管理員應該做些什麼來防止這種情況？最佳實踐是什麼？

我的特殊情況是我們有一小群開發人員在少數伺服器上工作。每台伺服器上的個人使用者帳戶正變得令人討厭，因此我們希望通過 LDAP 實現集中式身份驗證。我擔心我們的 LDAP 伺服器上的一些問題意味著沒有人可以登錄任何東西的情況。所以我想弄清楚我們應該怎麼做。

到目前為止我的想法：

• 擁有多個複制的 LDAP 伺服器以便我們沒有單點故障似乎是一個好主意，但它會增加很多我們真正想要避免的複雜性。
• 我們是否應該確保在每台伺服器上始終在本地配置一個使用者，如果 LDAP 不工作，我們可以將其用作後門？這是嚴重的安全妥協嗎？
• 使用者會看到 LDAP 伺服器關閉和他們只是輸入錯誤密碼之間的任何區別嗎？

• Linux（如帶有 AD 的 Windows）具有記憶體成功登錄的能力，並且可以在 LDAP 中斷的情況下使用此記憶體（這可以通過 SSSD 或 nscd 完成 - 如果您使用的是 RHEL/CentOS/Fedora，我建議使用 SSSD） . 當然，這只有在使用者最近成功登錄到該機器時才有效。此外，當然，這不適用於不使用 PAM 而是直接使用 LDAP 伺服器進行身份驗證的服務，例如某些 Web 服務。
• 在如此簡單的設置中添加複制並不是很困難，我認為它不會增加很多複雜性，但在我看來，增加的彈性非常值得付出努力。
• 在我看來，擁有一個具有sudo權限的工作本地使用者是強制性的，即使有記憶體（至少如果你通過 ssh 關閉 root 登錄）。
• 使用者是否看到差異取決於客戶端實現。使用 PAM 和記憶體，使用者甚至不會注意到，除非使用者不在記憶體中（在您查看日誌之前，這看起來像是一個錯誤的密碼）。

引用自：https://serverfault.com/questions/818652