我有一台旧的 Centos 目录服务器和一台新的 389 目录服务器。我现在不想使用 sssd,所以我们不要考虑这个建议。
我在 RHEL 6.4 服务器上执行以下操作:
authconfig --disablesssd --disablesssdauth --enablelocauthorize --enableldap --enableldapauth --ldapserver=ldap://**ldap02** --ldapbasedn=dc=example,dc=com --enablerfc2307bis --enableforcelegacy --update
它坏了,不允许我登录。当我执行操作时,它确实显示了正确的信息id
uid=3333(myname) gid=134(mygroup) groups=134(mygroup),887(sysadmin)
但如果我将 authconfig 指向旧服务器,然后更改 ldap.conf 设置,它就会起作用:
authconfig --disablesssd --disablesssdauth --enablelocauthorize --enableldap --enableldapauth --ldapserver=ldap://**ldap01** --ldapbasedn=dc=example,dc=com --enablerfc2307bis --enableforcelegacy --update
然后我改变/etc/pam_ldap.conf并/etc/openldap/ldap.conf指向LDAP02。宾果,我可以登录,但它似乎不承认我所在的系统管理员组。
uid=3333(myname) gid=134(mygroup) groups=134(mygroup)
旧服务器没有 sysadmin 组,因此这告诉我服务器仍在查找 ldap01 上的信息并从 ldap02 进行身份验证。
为了测试这个理论,我更改了旧 ldap01 服务器上的密码。现在只能用ldap02密码登录。但是当我在 ldap02 上创建一个新用户并执行操作时,id他们没有显示,ldapsearch 也没有显示。
有谁知道为什么服务器在一台服务器上进行查找而在另一台服务器上进行身份验证。这只会影响我的 RHEL 6 服务器。我的 RHEL 5 服务器运行正常。
这是pam_ldap.conf和ldap.conf的内容
ssl start_tls
tls_checkpeer no
TLS_REQCERT allow
TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://ldap02/
BASE dc=example,dc=com
有人知道这是怎么回事吗?
以下是附加信息:
cat /etc/sysconfig/authconfig
IPADOMAINJOINED=no
USEMKHOMEDIR=no
USEPAMACCESS=no
CACHECREDENTIALS=yes
USESSSDAUTH=no
USESHADOW=yes
USEWINBIND=no
USEDB=no
FORCELEGACY=yes
USEFPRINTD=yes
FORCESMARTCARD=no
PASSWDALGORITHM=md5
USELDAPAUTH=yes
USEPASSWDQC=no
IPAV2NONTP=no
USELOCAUTHORIZE=yes
USECRACKLIB=yes
USEIPAV2=no
USEWINBINDAUTH=no
USESMARTCARD=no
USELDAP=yes
USENIS=no
USEKERBEROS=no
USESYSNETAUTH=no
USESSSD=no
USEHESIOD=no
我虽然这也可能是一个缓存问题,但 nscd 已停止......
好吧,我终于找到了问题的一部分。 /etc/nslcd.conf 中有一个 ldap01 条目。我更改了它并重新启动了nslcd和poof..我无法再次登录。我把它改回lda01,我可以再次使用ldap02的密码登录。这太奇怪了。
答案1
所以答案是 RHEL 的最低安装不包括 ksh,它是我的默认 shell。我使用 ksh 是因为我们没有 Bash 的 HP-UX 机器存在兼容性问题。为什么最小安装没有安装所有基本 shell 是让我困惑的事情。我认为我应该因为没有secure早点检查日志而被投下地狱。我假设日志中会包含类似的内容messages。