如何在 Debian 10 客户端上重新配置 ldap 服务器连接?

如何在 Debian 10 客户端上重新配置 ldap 服务器连接?

我有一个 Debian 10 系统,配置为与 OpenLDAP 服务器 (10.5.5.35) 通信以获取密码、组和影子。我需要将主机切换到 Duo Auth 代理 (10.5.5.50)。我以为我可以更改 IP 地址(乌里/etc/ldap.conf/etc/ldap/ldap.conf但身份验证仍然会发送到 .35 地址(我可以在tcpdump登录时看到此流量)。

我的/etc/ldap/ldap.conf -> /etc/ldap.conf(它们是符号链接)就在下面。有趣的是,将 更改uri为完全错误的内容 (1.1.1.1) 不会影响身份验证。只有 CLI 实用程序会ldapsearch失败:

uri                    ldap://10.5.5.35
base                   dc=corp,dc=net
nss_base_group         ou=groups,dc=corp,dc=net
ldap_version           3
pam_password           md5
ssl                    start_tls
tls_reqcert            allow
TLS_CACERTDIR          /etc/ssl/certs
ldap_version           3
pam_password           crypt
pam_login_attribute    uid
tls_reqcert            never
bind_timelimit         60
pam_groupdn            cn=ldapuser,ou=groups,dc=corp,dc=net
#
nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,colord,cyrus,daemon,debian-spamd,dnsmasq,dovecot,dovenull,freerad,games,gdm,gnats,haldaemon,hplip,irc,kernoops,landscape,libuuid,list,lp,mail,man,memcache,messagebus,mysql,nagios,news,ntp,nx,openldap,polkituser,postfix,proxy,root,saned,sshd,statd,stunnel4,sympa,sync,sys,syslog,uml-net,unscd,usbmux,uucp,whoopsie,www-data,xrdp                                                                                                           

timelimit              60
idle_timelimit         60

/etc/nsswitch.conf

mfcb# cat /etc/nsswitch.conf 
passwd: files ldap
group:  files ldap
shadow: files ldap

hosts:     files dns
networks:  files

protocols: db files
services:  db files
ethers:    db files
rpc:       db files

netgroup: nis
sudoers:  files

LDAP客户端安装的包有:

# dpkg -l | grep ldap | awk '{print $1" "$2}'
ii ldap-utils
ii libldap-2.4-2:amd64
ii libldap-common
ii libnet-ldap-perl
ii libnss-ldapd:amd64
ii libpam-ldapd:amd64
ii sudo-ldap

我不确定为什么我-ldapd安装了软件包而不是-ldap.我今天找到的大部分文档都显示了-ldap正在使用的包。我在我们的票务系统中查了一下,我们显然是在-ldapd2018 年标准化的,当时 Ubuntu 升级后身份验证突然停止工作。我应该指出,我们的大部分基础设施都是 Ubuntu。 Debian 只占我们 60 多个主机中的 5 个,所以对它不太熟悉。不过,我们确实配置了/正在处理所有这些 LDAP 身份验证。

我尝试安装这些-ldap软件包,但由于某种原因它删除了我的/etc/ldap.conf/etc/ldap/ldap.conf文件,这几乎破坏了一切。

Debian 10 使用什么配置/文件/守护进程来重新启动来确定与哪个 LDAP 服务器进行身份验证?

答案1

以防万一对其他人有帮助,我必须改变/etc/nslcd.conf也到新服务器并重新启动nslcd守护程序。

相关内容