OpenLDAP集中管理用户帐号学习笔记（2009-10-23更新）

jb96_xlwang

我在一个 100台机器的范围内使用了2台ldap 服务器进行 用户帐号的管理。
登陆验证方面的都没有问题，但是在实际使用中感觉很有问题。

1， 客户端 和 LDAP 服务器建立的连接太多。
2，客户端很多启动的进程 都需要和 ldap 保持一个连接，这个在 http 进程上面几乎不能容忍。
3， LDAP服务器的日志中 时常报 ：
     slapd[3992]: connection_read(410): no connection!
     这样的信息，如何增加 ldap 服务的最大连接数 ？


请教楼主，遇到过这样的问题没有 ？有没有什么解决方案 ？

mjwdj

楼上的问题我没遇到过，
但“客户端 和 LDAP 服务器建立的连接太多。”的问题应该很好解决，既然你有2台server，把一半数量的客户端的ldap server指定到另外一台不就解决了？

ldap不会连100多的客户端都成问题把？我公司里也有100多台客户端，没什么问题啊，你最好分析一下你的网络，是不是有什么问题，我觉得不是ldap的问题。

diyself

mjwdj：拜读了大作《《OpenLDAP集中管理用户帐号学习笔记》》，经过实践，用ldap保存系统帐户，vsftpd的用户是系统用户，通过passwd更改密码后，更改前的密码和更改后的密码都能登陆vsftpd

      请问这是怎么回事？

mjwdj

原帖由 diyself 于 2009-4-4 12:39 发表
mjwdj：拜读了大作《《OpenLDAP集中管理用户帐号学习笔记》》，经过实践，用ldap保存系统帐户，vsftpd的用户是系统用户，通过passwd更改密码后，更改前的密码和更改后的密码都能登陆vsftpd

      请问这是怎 ...

看看/etc/nsswitch.conf文件就知道了！
passwd:     files ldap
shadow:     files ldap
group:      files ldap
原因是什么很简单吧？

files即：/etc/passwd   /etc/shadow    /etc/group


我用下来发现：

在files里和ldap里存在同名用户的话，使用passwd命令只修改ldap数据中的用户密码，而不修改files里的密码。

某个用户只存在files里或者ldap里，passwd命令会修改相应的密码。

在files里和ldap里存在同名用户的话，使用files里和ldap里的密码都能让用户登录。

很多操作会引起ldap服务无法启动，例如：
用rpm或yum命令安装bind时会将slapd.conf文件的属主改为root，直接导致ldap服务中断，且无法启动。


所以：

1、建议只将登录用户的帐号迁到ldap中，保留系统自建的帐号使用files来验证。免得ldap停止后没有任何帐号登录系统来启动ldap服务。

2、建议：将用户迁到ldap后，把passwd文件、group文件和shadow文件中相应用户的条目注销，避免一个用户能用2个密码登录。

diyself

好的，已经解决。

谢谢mjwdj 的热心帮助。

diyself

经过再次发现：问题仍在

我是ldap+ftp，ftp用的是系统帐户。

我通过ldapmodify把一个ftp的帐户密码改为123456。然后用以前的密码和新建的密码都是可以登录的。


不存在“在files里和ldap里存在同名用户”的情况。




问题解决：原来是shadow中的密码没有删除掉！

[ 本帖最后由 diyself 于 2009-4-12 22:32 编辑 ]

diyself

请问lz：  lam怎么建立一个系统帐户啊？


我新建一个postaccount类型的，输入必选属性：cn、gidNumber、homeDirectory、uid、uidNumber，然后点建立，提示：
    LAM无法建立cn=It101,ou=People,dc=lansrv,dc=cn帐号,LDAP发生错误.

Internal (implementation specific) error


非得导入系统文件的数据来建立用户吗？

fuleru

不错，两年后再更新，不容易啊。支持!

mjwdj

原帖由 diyself 于 2009-4-14 13:34 发表
请问lz：  lam怎么建立一个系统帐户啊？


我新建一个postaccount类型的，输入必选属性：cn、gidNumber、homeDirectory、uid、uidNumber，然后点建立，提示：
    LAM无法建立cn=It101,ou=People,dc=lansrv ...

不知道postsccount是什么，但如果使用lam来管理ldap帐号，建议修改lam“编辑服务器配置文件 ”，将里面默认的用户的模块更改为，如下图：


因为用系统帐号转换的ldap帐号用的是这样的模块。

我测试过用lam默认的模块也没问题，但对以后的管理可能会有影响。

用lam默认的模块，可以写入很多帐号的个人信息（感觉人事系统会比较有用）。

更改后的模块更适合验证linux系统帐号，比如可以在ldap里限制用户可以登录那些主机，而默认的模块不支持。

diyself

原来是要这样啊。我试试看。

谢谢lz的热心帮助。