Re: nscd работает с libnss-ldapd ?

[Pavel Ammosov <apavel@wapper.ru>]

On Tue, May 28, 2013 at 10:51:54AM +0400, Владимир Скубриев wrote:
> в работе nscd
> я так понимаю, что он нужен, для того, чтобы кэшировать например
> passwd, group из nss

Если записи попали в nscd до потери ldap-сервера, то они будут у него в кеше, до истечения TTL.
Сам он ничего проактивно загружать не будет.

> т.е. в случае если не доступен ldap server система должна видеть
> пользователей и группы ldap.

Если до поломки сервера этих пользователей запрашивали (via id(1), например) и nscd успел 
их закешировать.

> в связи с этим вопрос чем кэшировать данные passwd, group в случае
> не доступности ldap server

Был какой-то libpam-ccreds, он это делал. Но раз ssds наше будущее, то наверно надо 
искать там.

[...]
> но стоит мне отключить сервер - не возможно войти в систему ldap
> пользователем.

Авторизацией занимается PAM, ему надо делать bind в LDAP-сервер при обычной конфигурации, nscd тут 
точно не помошник. При особом желании можно сделать авторизацию без pam-ldap, чисто через NSS. 
То есть, чтобы pam_unix сам проверял пароль с хешем. Но это потребует давать всем доступ на
чтение хешей паролей, что, очевидно, лучше избегать для лучшей секурности.