Эти материалы являются объектом авторского права и защищены законами РФ и международными соглашениями о защите авторских прав. Перед использованием материалов вы обязаны принять условия лицензионного договора на использование этих материалов, или же вы не имеете права использовать настоящие материалы

Авторская площадка "Наши орбиты" состоит из ряда тематических подразделов, являющихся моими лабораторными дневниками, содержащими записи за разное, иногда продолжительно отличающееся, время. Эти материалы призваны рассказать о прошедшем опыте, они никого ни к чему не призывают и совершенно не обязательно могут быть применимы кем-то ещё. Это только лишь истории о прошлом

Вопрос: В дистрибутиве ASPLinux 11.2 наблюдается отказ сервиса LDAP загружаться после перезагрузки сервера. Что можно посоветовать ?

Вопрос: Можно ли обеспечить авторизацию пользователей на нескольких серверах UNIX, используя данные единственного каталога LDAP и соответствующую компоненту ?

Вопрос: В дистрибутиве ASPLinux 11.2 наблюдается отказ сервиса LDAP загружаться после перезагрузки сервера. Что можно посоветовать ?

Ответ: В общем случае ответ по сервисам ОС должен давать производитель, автор не является консультантом по настройке операционных систем. Однако в данном конкретном случае дистрибутив является одним из базовых для дочерних решений, а вопрос задан в объёме работы компоненты

Действительно, проблема наблюдается. Исследования показали, что при перезагрузке сбиваются права на часть файлов, хранящих данные каталога LDAP, что, вкупе с запуском сервиса LDAP из под непривилегированного пользователя создает описываемый эффект. Методов борьбы может быть несколько - написать собственный файл запуска сервиса (init), запускать сервис из под root и т.п. Для того, чтобы не трогать файлы дистрибутива, в т.ч. инициализационный файл сервиса LDAP, можно добавить в конец /etc/rc.d/rc.local следующие команды, которые будут восстанавливать права при каждом перезапуске сервера:

service ldap stop
su - ldap -c "/usr/bin/db_recover -v -h /var/lib/ldap"
service ldap start
service ldap stop
chown ldap:ldap /var/lib/ldap/*
service ldap start
su - ldap -c "/usr/bin/db_checkpoint -h /var/lib/ldap -p 1 &"

Кроме проведения восстановления DB и прав доступа, этот командный блок запускает принудительную запись контрольной точки DB каждую секунду, что позволяет увеличить вероятность сохранения модифицированных данных в каталоге. Впрочем, выставить период сбрасывания контролькой точки на диск пользователь, при необходимости, может и сам

Вопрос: Можно ли обеспечить авторизацию пользователей на нескольких серверах UNIX, используя данные единственного каталога LDAP и соответствующую компоненту ?

Ответ: Каталог LDAP предназначен в том числе и для организации подобных решений. Будучи развернутым на одной машине, он может предоставлять данные учётных записей множеству серверов. Компонента не вносит а работу каталога каких либо существенных изменений, ее задача - удобное управление записями каталога

Таким образом для конфигурирования нескольких серверов на авторизацию из каталога LDAP необходимо выполнить только стандартные процедуры, с которыми может справиться любой грамотный UNIX администратор. Напомню о них вкратце - установка клиентских модулей pam_ldap и nss_ldap, конфигурирование модулей, модификация файла /etc/nsswitch.conf, модификация аутентификационной конфигурации PAM операционной системы (для Linux это обычно /etc/pam.d/system-auth). Опционально можно сконфигурировать обмен между каталогом LDAP и серверами с применением SSL/TLS, что рекомендуется для повышения безопасности решения