https://www.opennet.ru/openforum/vsluhforumID1/89122.html Столкнулся с непонятным мне поведением системы при авторизации пользователей через OpenLDAP. Сама авторизация работает, с ее настройкой проблем не возникло. Однако в процессе тестирования заметил, что в случае остановки процесса nscd (Name Switch Cache Daemon) обычные пользователи перестают получать информацию из LDAP-каталога. Проявляется это, например, в невозможности получения имени пользователей/групп по их идентификаторам. К примеру, вот так выглядит ls корня для домашних каталогов от обычного пользователя при опущенном nscd:<br><br>pacman@node1:~$ ls -la /home<br>итого 16<br>drwxr-xr-x 4 root root 4096 Июн 10 08:00 .<br>drwxr-xr-x 20 root root 4096 Июн 10 07:10 ..<br>drwxr-xr-x 2 10001 10001 4096 Июн 10 08:01 Obivan<br>drwxr-xr-x 3 10000 10000 4096 Июн 10 07:11 Vitaly<br><br>Причем на LDAP-сервер в этот момент запросы от NSS хоста вообще не прилетают. Если запустить nscd, то все кардинально меняется:<br><br>pacman@node1:~$ su<br>Пароль:<br>node1:/home/Vitaly# /etc/init.d/nscd start<br>Starting Name Service Cache Daemon: nsc https://www.opennet.ru/openforum/vsluhforumID1/89122.html#3 Tue, 15 Jun 2010 19:39:34 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Действительно, проблему решило chmod 0644 /etc/libnss-ldap.conf (стояло 0600). <br>&gt;<br>&gt;&gt;вообще-то данная проблема с pald nss_ldap никак не решается, кроме как изменение <br>&gt;&gt;прав <br>&gt;&gt;доступа к файлам, часто nscd не помогает.<br>&gt;<br>&gt;Посоветовали посмотреть в сторону nss_ldapd, вроде как он решает такие проблемы. Но <br>&gt;пока не смотрел, попробую на неделе. <br>&gt;<br><br>nss-pam-ldapd проблему с file permissions действительно решает, более того, на мой взгляд он работает более приемлемо, чем связка padl ldap_nss + nscd. единственный, на мой взгляд, недостаток - это отдельный файл конфигурации и несовместимость с синтаксисом /etc/ldap.conf, что впрочем легко исправляется путем минимального редактирования исходников.<br> https://www.opennet.ru/openforum/vsluhforumID1/89122.html#2 Tue, 15 Jun 2010 19:31:28 GMT &gt;мне почему-то кажется, что проблема в том, что для подсоединения к ldap <br>&gt;серверу использутеся ssl/tls, а права доступа на какой-либо файл с <br>&gt;сертификатом или ключем<br><br>Действительно, проблему решило chmod 0644 /etc/libnss-ldap.conf (стояло 0600).<br> <br>&gt;вообще-то данная проблема с pald nss_ldap никак не решается, кроме как изменение <br>&gt;прав <br>&gt;доступа к файлам, часто nscd не помогает.<br><br>Посоветовали посмотреть в сторону nss_ldapd, вроде как он решает такие проблемы. Но пока не смотрел, попробую на неделе.<br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89122.html#1 Tue, 15 Jun 2010 18:22:25 GMT &gt;[оверквотинг удален]<br>&gt;итого 16 <br>&gt;drwxr-xr-x 4 root root 4096 Июн 10 <br>&gt;08:00 . <br>&gt;drwxr-xr-x 20 root root 4096 Июн 10 07:10 <br>&gt;.. <br>&gt;drwxr-xr-x 2 obivan obivan 4096 Июн 10 08:01 Obivan <br>&gt;drwxr-xr-x 3 pacman pacman 4096 Июн 10 07:11 Vitaly <br>&gt;<br>&gt;При работе под root такого эффекта не наблюдается. Почему? Ведь nscd только <br>&gt;кеширует запросы. Или не только? <br><br>мне почему-то кажется, что проблема в том, что для подсоединения к ldap серверу использутеся ssl/tls, а права доступа на какой-либо файл с сертификатом или ключем <br>неправильно выставлены. т.к. nscd обычно работает от root, то и наблюдается такой эффект.<br>вообще-то данная проблема с pald nss_ldap никак не решается, кроме как изменение прав <br>доступа к файлам, часто nscd не помогает.<br>