Re: nscd работает с libnss-ldapd ?
On Tue, May 28, 2013 at 10:51:54AM +0400, Владимир Скубриев wrote:
> в работе nscd
> я так понимаю, что он нужен, для того, чтобы кэшировать например
> passwd, group из nss
Если записи попали в nscd до потери ldap-сервера, то они будут у него в кеше, до истечения TTL.
Сам он ничего проактивно загружать не будет.
> т.е. в случае если не доступен ldap server система должна видеть
> пользователей и группы ldap.
Если до поломки сервера этих пользователей запрашивали (via id(1), например) и nscd успел
их закешировать.
> в связи с этим вопрос чем кэшировать данные passwd, group в случае
> не доступности ldap server
Был какой-то libpam-ccreds, он это делал. Но раз ssds наше будущее, то наверно надо
искать там.
[...]
> но стоит мне отключить сервер - не возможно войти в систему ldap
> пользователем.
Авторизацией занимается PAM, ему надо делать bind в LDAP-сервер при обычной конфигурации, nscd тут
точно не помошник. При особом желании можно сделать авторизацию без pam-ldap, чисто через NSS.
То есть, чтобы pam_unix сам проверял пароль с хешем. Но это потребует давать всем доступ на
чтение хешей паролей, что, очевидно, лучше избегать для лучшей секурности.
Reply to: