Dan*_*ard 1 linux ldap authentication
如果Linux服务器使用LDAP进行认证,并且LDAP服务器由于某种原因宕机,用户如何登录?
我想答案是他们不能?所以我想我真正要问的是系统管理员应该做些什么来防止这种情况?最佳做法是什么?
我的特殊情况是我们有一小群开发人员在少数服务器上工作。每个服务器上的个人用户帐户正变得令人讨厌,因此我们希望通过 LDAP 实现集中式身份验证。我担心 LDAP 服务器上的某些问题意味着没有人可以登录任何内容。所以我想弄清楚我们应该怎么做。
到目前为止我的想法:
Linux(如带有 AD 的 Windows)具有缓存成功登录的能力,并且可以在 LDAP 中断的情况下使用此缓存(这可以通过 SSSD 或 nscd 完成 - 如果您使用的是 RHEL/CentOS/Fedora,我建议使用 SSSD) . 当然,这只有在用户最近成功登录到该机器时才有效。此外,当然,这不适用于不使用 PAM 而是直接使用 LDAP 服务器进行身份验证的服务,例如某些 Web 服务。
在如此简单的设置中添加复制并不是很困难,我不认为它会增加很多复杂性,但在我看来,增加的弹性非常值得付出努力。
sudo在我看来,即使使用缓存(至少如果您通过 ssh 关闭 root 登录),拥有具有权限的工作本地用户也是强制性的。| 归档时间: |
|
| 查看次数: |
1171 次 |
| 最近记录: |