登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

SeaRiver Blog

实力才是你一生最好的依靠!

 
 
 

日志

 
 

LDAP无法正常验证时,采用本地系统验证  

2010-06-29 18:28:59|  分类: LDAP |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
使用LDAP进行身份验证时,为什么服务器不可达时以本地用户登录会长时间挂起?
解决方法:

发现该问题的版本:红帽企业版 3


症状: 如果LDAP客户端和远程LDAP服务器的通信出现问题时,当使用一个本地用户,如root等登录LDAP目录服务器会出现登录长时间挂起或者停顿的现 象。这种情况其他下非本地用户也有可能登录失败。

解决方案: 在使用LDAP进行认证时,如果通过authconfig对PAM进行配置会导致该问题产生。该问题可通过使用authconfig和PAM的后续版本或 者使用红帽企业版的后续版本解决。

需要特别指出的是,在红帽update 5之后版本中的authconfig和PAM通过增加一个选项来修复该问题。但是该选项不包含在图形界面模式和字符交互模式中,因此必须通过命令行来指 定。如果要修改以前版本的authconfig,请首先备份当前配置。您可以root用户身份进行下面的操作:

tar cjf /root/auth_backup.tbz \
/etc/nsswitch.conf \
/etc/ldap.conf \
/etc/openldap/ldap.conf \
/etc/pam.d/system-auth \
/etc/sysconfig/authconfig \
/etc/sysconfig/network

Once you have a reliable backup of important authentication data, use the authconfig --enablelocauthorize command. The options you specified previously in this tool should come up and are hopefully still valid. If this is the case, simply press "next" through to the end. You can also use this tool entirely with command-line options. To see a list of valid options, execute authconfig --help. When complete, you should end up with /etc/pam.d/system-auth file resembling:

一旦您已经备份了重要认证信息,则执行authconfig --enablelocauthorize命令,enablelocauthorize功能将启动并可能仍然有效。如果该选项生效,只需要一直 “next”直到最后。并且您也可以完全使用命令行选项。如果需要查看有效的选项列表,请执行authconfig --help。或者通过修改/etc/pam.d/system-auth文件实现类似的功能:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_localuser.so
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so

password required /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_ldap.so use_authtok
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session optional /lib/security/$ISA/pam_ldap.so

这里提供一篇没有--enablelocalauthorize选项的/etc/pam.d/system-auth文件作为参考:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so

password required /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_ldap.so use_authtok
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session optional /lib/security/$ISA/pam_ldap.so


新增加的“sufficient”类型和pam_localuser.so模块用于在紧急情况下如果LDAP服务器不可达则允许本地用户登录。 原关基于LDAP认证的更多信息,请查看我们的文档http://www.redhat.com/docs /manuals/enterprise/RHEL-3-Manual/ref-guide/ch-ldap.html和知识库内的其他文章。

  评论这张
 
阅读(1216)| 评论(1)

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018