ユーザー認証にLDAPを使用します。ただ(下記 nsswitch.conf) Ubuntu 18.04.ただし、起動時にホストがLDAPサーバーに接続できない場合、NTPとDNSによって起動がブロックされます。
LDAP統合はldap-auth-client(sssdではない)によって実装されます。
A start job is running for Network Name Resolution
A start job is running for Network Time Synchronization
nsswitch.confからLDAPエントリを削除すると、システムが起動する可能性があります。
依存関係を削除し、ホストの起動を許可できますか?
nsswitch.conf:
passwd: compat systemd ldap
group: compat systemd ldap
shadow: compat ldap
gshadow: files
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
ベストアンサー1
通常の操作と通常の起動時に、複数のユーザーID(uid)、グループID(gid)、およびグループメンバーシップ認証を実行できます。ユーザー/グループ照会用にLDAPを構成した場合、LDAPサーバーとの通信に問題があると問題が発生する可能性があります。システムアカウント(ntp、rootなど)の処理を開始しても、LDAP照会が発生する可能性があります。特定のアカウント(システムアカウントなど)に対する特定のLDAP照会を防ぐようにクライアントシステムに指示する方法があります。 LDAPはとにかく何の利点も情報も提供しません。
私の推測では、/etc/ldap.confファイルに "nss_initgroups_ignoreusers"エントリを追加すると、開始遅延/ブロックの問題を解決できるようです。
/etc/ldap.confのエントリの例:
nss_initgroups_ignoreusers ntp
しかし、「nss_initgroups_ignoreusers」エントリがまだ存在しない理由はわかりません。 ldap-auth-clientを含むUbuntu 18.04があるので、libnss-ldap(ldap-auth-clientの依存関係)をインストールし、libnss-ldapを使用すると/etc/init.d/libnss - ldapを取得できることを願っています。 、nssldap-update-ignoreusersを呼び出します。 nssldap-update-ignoreusers は nss_initgroups_ignoreusers のエントリを生成します。
ldap.confを直接編集する代わりに、rootとしてまたはsudoを使用してnssldap-update-ignoreusersを手動で実行してみることができます。実際、これは上記の「ntp」専用の例よりも優れています。 LDAPグループを照会するときに無視するユーザーのリスト):
nssldap-update-ignoreusers
nssldap-update-ignoreusersがdiffファイルをどこかに保存しても、操作を実行する前にldap.confファイルのコピーを保存できます。