Directory Server は 1 つの LDAP サーバーを照会し、別の LDAP サーバーで認証します。

古いCentosディレクトリサーバーと新しい389ディレクトリサーバーがあります。今はsssdを使いたくないので、この提案は考慮しないでください。

RHEL 6.4サーバーで次のことを行っています。

authconfig --disablesssd --disablesssdauth --enablelocauthorize --enableldap --enableldapauth --ldapserver=ldap://**ldap02** --ldapbasedn=dc=example,dc=com --enablerfc2307bis --enableforcelegacy --update

壊れてログインできません。私がしたときに正しい情報が表示されます。id

uid=3333(myname) gid=134(mygroup) groups=134(mygroup),887(sysadmin)

ただし、authconfigを古いサーバーとして指定し、ldap.conf設定を変更すると機能します。

authconfig --disablesssd --disablesssdauth --enablelocauthorize --enableldap --enableldapauth --ldapserver=ldap://**ldap01** --ldapbasedn=dc=example,dc=com --enablerfc2307bis --enableforcelegacy --update

それから私は変更して/etc/pam_ldap.conf次の/etc/openldap/ldap.confことを指しました。LDAP02。ビンゴ、ログインできますが、私が属しているsysadminsグループを認識していないようです。

uid=3333(myname) gid=134(mygroup) groups=134(mygroup)

以前のサーバーには sysadmin グループがなかったため、サーバーはまだ ldap01 に関する情報を探しており、ldap02 で認証していることを通知します。

この理論をテストするために、以前のldap01サーバーのパスワードを変更しました。これで、ldap02パスワードでのみログインできます。ただし、ldap02で新しいユーザーを作成して操作を実行すると、そのidユーザーは表示されず、ldapsearchも表示されません。

サーバーがあるサーバーで照会を実行し、別のサーバーで認証を実行する理由を知っている人はいますか？これは私のRHEL 6サーバーにのみ影響します。私のRHEL 5サーバーが正しく実行されています。

pam_ldap.conf と ldap.conf の内容です。

ssl start_tls
tls_checkpeer no
TLS_REQCERT allow
TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://ldap02/
BASE dc=example,dc=com

何が起こっているのか知っている人はいますか？

追加情報は次のとおりです。

    cat /etc/sysconfig/authconfig
IPADOMAINJOINED=no
USEMKHOMEDIR=no
USEPAMACCESS=no
CACHECREDENTIALS=yes
USESSSDAUTH=no
USESHADOW=yes
USEWINBIND=no
USEDB=no
FORCELEGACY=yes
USEFPRINTD=yes
FORCESMARTCARD=no
PASSWDALGORITHM=md5
USELDAPAUTH=yes
USEPASSWDQC=no
IPAV2NONTP=no
USELOCAUTHORIZE=yes
USECRACKLIB=yes
USEIPAV2=no
USEWINBINDAUTH=no
USESMARTCARD=no
USELDAP=yes
USENIS=no
USEKERBEROS=no
USESYSNETAUTH=no
USESSSD=no
USEHESIOD=no

キャッシュの問題かもしれませんが、nscdが停止しました...

さて、ついに問題の一部を見つけました。 /etc/nslcd.conf に ldap01 エントリがあります。変更してnslcdとpoofを再起動しましたが、もう一度ログインできません。 lda01に戻り、ldap02のパスワードを使用して再度ログインできます。本当に変です。