Игорь Чумак wrote:
Добрый день!
В машинке с openvz настроена авторизация через общий ldap-каталог.
Удобно. Но openvz-контейнеры теперь запускаются очень долго (около 10
мин). Есть подозрение, что все процессы теперь хотят получать UID/GID
через ldap.
Вопрос: как бы это пресечь? Или хотя бы отдиагностировать.
Да, кстати, странность №2
getent возвращает по 2 записи (но моментально):
getent passwd|grep root
root:x:0:0:root:/root:/bin/bash
root:x:0:0:root:/root:/bin/bash
getent passwd|grep www-data
www-data:x:33:33:www-data:/var/www:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
Одна из ldap, другая из /etc/passwd.
Возможно, это как-то связано.
# /etc/nsswitch.conf
passwd: ldap compat
group: ldap compat
shadow: compat
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
#/etc/libnss-ldap.conf
host 192.168.255.1
base dc=domain,dc=com,dc=ua
uri ldap://192.168.255.1
ldap_version 3
port 389
scope sub
pam_check_host_attr yes
a что root и в ldap есть ?
я думал , что в ldap лучше держать аккаунты начиная так с uid 1000 (
а остальные для локальных юзеров )
и разумеется локальные просто так не должны пересекаться с LDAP .
в /etc/nsswitch лучше иметь
compat ldap
тоесть локальные сначала , а затем ldap .
Regards ,
Alex