我有一個 Debian 10 系統,配置為與 OpenLDAP 伺服器 (10.5.5.35) 通訊以取得密碼、群組和影子。我需要將主機切換到 Duo Auth 代理程式 (10.5.5.50)。我以為我可以更改 IP 位址(烏裡)/etc/ldap.conf,/etc/ldap/ldap.conf但驗證仍然會傳送到 .35 位址(我可以在tcpdump登入時看到此流量)。
我的/etc/ldap/ldap.conf -> /etc/ldap.conf(它們是符號連結)就在下面。有趣的是,將 更改uri為完全錯誤的內容 (1.1.1.1) 不會影響身份驗證。只有 CLI 實用程式會ldapsearch失敗:
uri ldap://10.5.5.35
base dc=corp,dc=net
nss_base_group ou=groups,dc=corp,dc=net
ldap_version 3
pam_password md5
ssl start_tls
tls_reqcert allow
TLS_CACERTDIR /etc/ssl/certs
ldap_version 3
pam_password crypt
pam_login_attribute uid
tls_reqcert never
bind_timelimit 60
pam_groupdn cn=ldapuser,ou=groups,dc=corp,dc=net
#
nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,colord,cyrus,daemon,debian-spamd,dnsmasq,dovecot,dovenull,freerad,games,gdm,gnats,haldaemon,hplip,irc,kernoops,landscape,libuuid,list,lp,mail,man,memcache,messagebus,mysql,nagios,news,ntp,nx,openldap,polkituser,postfix,proxy,root,saned,sshd,statd,stunnel4,sympa,sync,sys,syslog,uml-net,unscd,usbmux,uucp,whoopsie,www-data,xrdp
timelimit 60
idle_timelimit 60
/etc/nsswitch.conf
mfcb# cat /etc/nsswitch.conf
passwd: files ldap
group: files ldap
shadow: files ldap
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
sudoers: files
這LDAP客戶端安裝的套件有:
# dpkg -l | grep ldap | awk '{print $1" "$2}'
ii ldap-utils
ii libldap-2.4-2:amd64
ii libldap-common
ii libnet-ldap-perl
ii libnss-ldapd:amd64
ii libpam-ldapd:amd64
ii sudo-ldap
我不確定為什麼我-ldapd安裝了軟體包而不是-ldap.我今天找到的大部分文件都顯示了-ldap正在使用的套件。我在我們的票務系統中查了一下,我們顯然是在-ldapd2018 年標準化的,當時 Ubuntu 升級後身份驗證突然停止工作。我應該指出,我們的大部分基礎設施都是 Ubuntu。 Debian 只占我們 60 多個主機中的 5 個,所以對它不太熟悉。不過,我們確實配置了 LDAP 身份驗證/正在處理所有這些身份驗證。
我嘗試安裝這些-ldap軟體包,但由於某種原因它刪除了我的/etc/ldap.conf和/etc/ldap/ldap.conf文件,這幾乎破壞了一切。
Debian 10 使用什麼設定/檔案/守護程式來重新啟動來確定與哪個 LDAP 伺服器進行驗證?
答案1
以防萬一其他人有幫助,我必須改變/etc/nslcd.conf也到新伺服器並重新啟動nslcd守護程序。