我在LDAP身份validation故障切换时遇到问题。 目前我们有两个CentOS-DS目录服务器在多主设备中工作。 每个站点一台服务器。 通常,login过程正常。 但是,我在故障切换部分遇到问题。 如果ldap_SiteA.domain.local出现故障,则该位置中通常指向该位置的所有服务器都不会再查看第二个条目:ldap_siteB.domain.local。
我们使用ldaplogin和Sudo。 以下是在Site A中运行的CentOS 5.6服务器上的/etc/ldap.conf的副本(对于站点B,服务器的顺序是颠倒的)
下面是我写过的通过LDAP进行身份validation的脚本的一部分:
authconfig --enableldap --enableldapauth --enablemkhomedir --ldapserver=ldap_siteA.domain.local,ldap_siteB.domain.local --ldapbasedn="dc=domain,dc=local" --update echo 'sudoers: files ldap' >> /etc/nsswitch.conf echo 'base dc=domain,dc=local timelimit 15 bind_policy soft bind_timelimit 30 idle_timelimit 30 uri ldaps://ldap_siteA.domain.local/ uri ldaps://ldap_siteB.domain.local/ ssl yes tls_checkpeer no pam_password clear #debug used for troubleshooting #sudoers_debug 2 sudoers_base ou=SUDOers,dc=domain,dc=local ' > /etc/ldap.conf 我错过了什么故障转移才能正常工作? 另外,我们似乎有几个主机喜欢发送大量的连接到ldap服务器。 我应该更好地调整我的超时? 使用NSCD服务? 都?
谢谢!
uri ldaps://ldap_siteA.domain.local/ ldaps://ldap_siteB.domain.local/
有限的本地副本比nscd好,但是设置更复杂。
如果你正在使用ldap作为uid / gid,那么最好有一个或另一个。
ls -l /home/得到噪音。