我使用 ldap 通过代理控制互联网访问。但我遇到了一个问题,当我禁用用户时,他们仍然可以访问互联网,而当我再次启用他们时,他们这次却无法访问,让他们再次使用网络的唯一方法是修改他们的密码……我想知道为什么我的 ldap 会这样……可能是因为某些更新?我不知道。
如果你有什么想法,欢迎提出!
答案1
您需要提供有关您正在使用的 LDAP 后端服务器、代理应用程序的更多详细信息。
但在我看来,您最有可能遇到的是缓存问题。
用户禁用状态的更改会被缓存,并且只会刷新密码更改。可以预见的是,由于密码可能永远不会被缓存,因此每次登录尝试都会强制连接绑定并测试密码,如果失败,则可能会查看对象的其余部分以确定重新读取禁用状态的原因。
也许删除 LDAP 缓存时间以使其存在于您的代理中?
答案2
身份验证应通过 kerberos 或其他身份验证服务器进行。LDAP 只是一个目录。
所以想到的是;
- 复制问题
- 复制延迟
因此,请检查您的日志。如果可能的话,请使其更详细。
为了解决此问题,身份验证服务器应该在流程中的某个时刻尝试联系 ldap;使用 wireshark 或其他工具进行一些数据包分析。
答案3
我知道这个问题,您必须重新加载 squid 服务才能使修改生效。
顺便说一句,阻止用户连接到互联网的最佳方法是在代理上阻止他们。例如,使用 squid,您只需创建一个blocked_user.acl,然后将用户的uid放在文件中,重新加载 squid,然后享受结果。