Linux
LDAP 關閉時使用者如何登錄?
如果 linux 伺服器使用 LDAP 進行身份驗證,並且 LDAP 伺服器由於某種原因關閉,使用者如何登錄?
我想答案是他們不能?所以我想我真正要問的是系統管理員應該做些什麼來防止這種情況?最佳實踐是什麼?
我的特殊情況是我們有一小群開發人員在少數伺服器上工作。每台伺服器上的個人使用者帳戶正變得令人討厭,因此我們希望通過 LDAP 實現集中式身份驗證。我擔心我們的 LDAP 伺服器上的一些問題意味著沒有人可以登錄任何東西的情況。所以我想弄清楚我們應該怎麼做。
到目前為止我的想法:
- 擁有多個複制的 LDAP 伺服器以便我們沒有單點故障似乎是一個好主意,但它會增加很多我們真正想要避免的複雜性。
- 我們是否應該確保在每台伺服器上始終在本地配置一個使用者,如果 LDAP 不工作,我們可以將其用作後門?這是嚴重的安全妥協嗎?
- 使用者會看到 LDAP 伺服器關閉和他們只是輸入錯誤密碼之間的任何區別嗎?
- Linux(如帶有 AD 的 Windows)具有記憶體成功登錄的能力,並且可以在 LDAP 中斷的情況下使用此記憶體(這可以通過 SSSD 或 nscd 完成 - 如果您使用的是 RHEL/CentOS/Fedora,我建議使用 SSSD) . 當然,這只有在使用者最近成功登錄到該機器時才有效。此外,當然,這不適用於不使用 PAM 而是直接使用 LDAP 伺服器進行身份驗證的服務,例如某些 Web 服務。
- 在如此簡單的設置中添加複制並不是很困難,我認為它不會增加很多複雜性,但在我看來,增加的彈性非常值得付出努力。
- 在我看來,擁有一個具有
sudo
權限的工作本地使用者是強制性的,即使有記憶體(至少如果你通過 ssh 關閉 root 登錄)。- 使用者是否看到差異取決於客戶端實現。使用 PAM 和記憶體,使用者甚至不會注意到,除非使用者不在記憶體中(在您查看日誌之前,這看起來像是一個錯誤的密碼)。