当ldap服务停掉时,如何本地登陆

gumpgong

用ldap做统一认证,没有把本地用户全部导入ldap
当ldap服务停掉时,本地用户也无法登陆了
log里不停的报连接ldap服务器超时,无法bind
有什么设置可以,当ldap服务不能用时,仍然使用本地认证么

gumpgong

没有办法咯,头大啊
连本地console都登不进去
这样的话,连ldap服务重启就会出现这样的问题,起不来

aaaaaa

你的使用方法有问题。
1，跑LDAP的机器，最好就不要再用LDAP认证了。只加管理员帐户。既可以保证系统稳定，又可以保证安全性。
2，配置nss为ldap file。然后保留系统帐户中，有必要的用户，如root和系统管理员，以保证在无网络情况下，仍可以从console登录。
3，调整各个timeout等参数，LDAP双机等策略实施，提高LDAP服务的健康程度。

LDAP的使用，需要仔细设计，否则会给你的系统带来不少的麻烦。
FYI

jxg945

ldap客户机，需要将 “ldap” 添加到 /etc/nsswitch.conf


passwd:     files ldap
shadow:     files ldap
group:      files ldap



本人测试结果:
file 在前 ldap在后就是 ldap失败的时候可以通过本地系统的用户登陆，相反file在后，ldap在前，就是ldap失败的话本地也无法登陆.

jb96_xlwang

原帖由 aaaaaa 于 2009-2-20 00:21 发表
你的使用方法有问题。
1，跑LDAP的机器，最好就不要再用LDAP认证了。只加管理员帐户。既可以保证系统稳定，又可以保证安全性。
2，配置nss为ldap file。然后保留系统帐户中，有必要的用户，如root和系统管理员 ...
3，调整各个timeout等参数，LDAP双机等策略实施，提高LDAP服务的健康程度。

你好，
    对第二点有疑问，
    nss 为 ldap file 后，会不会存在每次一个进程启动（哪怕是http服务）都需要到 ldap  服务器上获取一个连接？
    而其实 ldap 上根本没有这个用户的数据，所以出现大量的 TIME_WAIT ？
    不知道 aaa 你是怎么解决的  ？

    我现在发现 弄成 files ldap 的，并且在 客户端上将启动进程的用户弄成可以登陆的（/etc/passwd, 修改掉/sbin/nologin )
      这样的话，就不会再去 ldap 服务器上绑定 连接了。

    但是这个方法有些太麻烦了。不知道有没有别的方法。


   第三点， 请教一下 “调整各个timeout等参数” 具体有哪些 ？
        能分享一下么 ？

谢谢。。