Debian 10 クライアントで LDAP サーバー接続を再構成するにはどうすればよいですか?

tag-icon tag-icon debian authentication ldap
Debian 10 クライアントで LDAP サーバー接続を再構成するにはどうすればよいですか?

私は、パスワード、グループ、シャドウのために OpenLDAP サーバー (10.5.5.35) と通信するように構成された Debian 10 システムを持っています。ホストを Duo Auth Proxy (10.5.5.50) に切り替える必要があります。IP アドレスを変更するだけで済むと思っていました (ウリ) が入力されていますが/etc/ldap.conf/etc/ldap/ldap.conf認証は依然として .35 アドレスに送信されます (tcpdumpログイン時にこのトラフィックを確認できます)。

my /etc/ldap/ldap.conf -> /etc/ldap.conf(これらはシンボリックリンクです) はすぐ下にあります。興味深いことに、 をuri完全に誤ったもの (1.1.1.1) に変更しても、認証には影響しません。次のような CLI ユーティリティのみldapsearchが失敗します。

uri                    ldap://10.5.5.35
base                   dc=corp,dc=net
nss_base_group         ou=groups,dc=corp,dc=net
ldap_version           3
pam_password           md5
ssl                    start_tls
tls_reqcert            allow
TLS_CACERTDIR          /etc/ssl/certs
ldap_version           3
pam_password           crypt
pam_login_attribute    uid
tls_reqcert            never
bind_timelimit         60
pam_groupdn            cn=ldapuser,ou=groups,dc=corp,dc=net
#
nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,colord,cyrus,daemon,debian-spamd,dnsmasq,dovecot,dovenull,freerad,games,gdm,gnats,haldaemon,hplip,irc,kernoops,landscape,libuuid,list,lp,mail,man,memcache,messagebus,mysql,nagios,news,ntp,nx,openldap,polkituser,postfix,proxy,root,saned,sshd,statd,stunnel4,sympa,sync,sys,syslog,uml-net,unscd,usbmux,uucp,whoopsie,www-data,xrdp                                                                                                           

timelimit              60
idle_timelimit         60

設定ファイル

mfcb# cat /etc/nsswitch.conf 
passwd: files ldap
group:  files ldap
shadow: files ldap

hosts:     files dns
networks:  files

protocols: db files
services:  db files
ethers:    db files
rpc:       db files

netgroup: nis
sudoers:  files

ldapクライアントにインストールされているパッケージは次のとおりです。

# dpkg -l | grep ldap | awk '{print $1" "$2}'
ii ldap-utils
ii libldap-2.4-2:amd64
ii libldap-common
ii libnet-ldap-perl
ii libnss-ldapd:amd64
ii libpam-ldapd:amd64
ii sudo-ldap

-ldapdなぜ ではなく パッケージがインストールされているのかわかりません-ldap。今日見つけたドキュメントの多くでは、-ldap代わりに パッケージが使用されていることが示されています。チケット システムで調べたところ、-ldapdUbuntu のアップグレード後に認証が突然機能しなくなった 2018 年に を標準化したようです。私たちのインフラのほとんどは Ubuntu です。Debian は 60 台ほどのホストのうち 5 台だけを占めているので、詳しくは知りません。ただし、すべてのホストで LDAP 認証が構成/動作しています。

パッケージをインストールしようとしましたが、何らかの理由でファイル-ldapが削除され、すべてが壊れてしまいました。/etc/ldap.conf/etc/ldap/ldap.conf

認証のためにどの LDAP サーバーと通信するかを判断するために、Debian 10 はどのような設定/ファイル/再起動デーモンを使用していますか?

答え1

他の人の役に立つかもしれないので、変更しなければなりませんでしたnslcd.conf は、新しいサーバーにも適用し、nslcdデーモンを再起動します。

関連情報