服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用户在LDAPclosures时如何login?
Intereting Posts
使用静态公有IP来实现elasticbeanstalk 要在AD集成的DNS中删除DNSlogging,需要什么权限以及在哪里? Weblogic服务器状态更改为FORCE_SHUTTING_DOWN 减慢Freeswitch中的Mod_Flite TTS Proftpd:TimeoutNoTranfer和TimeoutIdle之间的区别 Mysql未logging选项文件中sort_buffer_size的默认设置 .htaccess mod_deflate不适用于dynamicurl systemd日记和docker工人 anon-access = none时不能SVN签出 生产BIND DNS服务器 – 您是使用软件包pipe理器还是编译最新的稳定版本? Fail2Ban:已经被禁止? Heartbleed:HTTPS之外的其他服务是否受到影响? 如何在特定的套接字上测量MB /秒 将托pipe的VPS服务器迁移到我自己的服务器上 来源/replace为闲置?

用户在LDAPclosures时如何login?

如果一个linux服务器使用LDAP进行身份validation,并且由于某种原因LDAP服务器closures,用户如何login?

我想答案是他们不能? 所以我想我真正要问的是系统pipe理员应该如何防范这种情况呢? 什么是最佳实践?

我的特殊情况是,我们有一小部分开发人员在less量的服务器上工作。 每个服务器上的个人用户帐户正在变得麻烦,所以我们希望通过LDAP实现集中authentication。 我担心在LDAP服务器上出现问题意味着没有人可以login任何东西。 所以我想弄清楚我们应该怎么做。

我的想法到目前为止:

  • 拥有多个LDAP服务器以便我们没有单点故障似乎是一个好主意,但这会增加我们真正想要避免的复杂性。
  • 我们是否应该确保在每台服务器上都有本地configuration的用户,如果LDAP不能正常工作,我们可以用它作为后门。 这是一个严重的安全妥协?
  • 用户会看到LDAP服务器closures,他们只是input了错误的密码之间的任何区别?

  • Linux(像AD和Windows一样)有能力caching成功的login,并且可以在发生LDAP中断时使用这个caching(这可以通过SSSD或nscd完成 – 如果你在RHEL / CentOS / Fedora上,我推荐使用SSSD) 。 当然,这只有在用户最近成功login到该机器的情况下才起作用。 此外,当然,这不适用于不使用PAM的服务,而是直接使用LDAP服务器进行身份validation,例如某些Web服务。

  • 在这样一个简单的设置中添加复制并不是很困难,我不认为它增加了很多复杂性,但增加的复原性在我看来是非常值得的。

  • 在我看来,使用sudo权限工作的本地用户是强制性的,即使使用caching(至less如果你通过ssh进行rootlogin)。
  • 用户看到的差异取决于客户端的实现。 通过PAM和caching,用户甚至不会注意到,除非用户不在caching中(在查看日志之前,这看起来像是一个错误的密码)。