Ce erori de configurare ar duce la situația în care funcționează ldapsearch și funcționează getent, dar autentificarea pare să eșueze uneori în timpul conectării SSH?
Am două servere care interogă un al treilea server pentru autentificare LDAP. Toate serverele rulează Ubuntu 18.04.
Serverul LDAP (care rulează OpenLDAP / slapd) folosește un certificat autosemnat și ambele servere client au „TLS_REQCERT allow” în /etc/ldap/ldap.conf. Ambele servere client pot utiliza cu succes ldapsearch peste ldaps pentru a interoga utilizatorii. Pe ambele servere client, pot rula getent passwd și obțin rezultatele scontate.
Cu toate acestea, pe un server, când mă conectez prin ssh, am o întârziere constantă (aproximativ treizeci de secunde). /var/log/auth.log de pe acel server include aceste linii:
pam_systemd(sshd:session): Failed to create session: Connection timed out
nss_ldap: reconnecting to LDAP server...
nss_ldap: reconnected to LDAP server ldaps://[IP address] after 1 attempt
systemd-logind: nss_ldap: could not connect to any LDAP server as [...] - Can't contact LDAP server
systemd-logind: nss_ldap: failed to bind to LDAP server ldaps://[IP address]: Can't contact LDAP server
Din câte știm, toate componentele relevante ale configurației pentru cele două servere client sunt aceleași ca ale celuilalt.
Am încercat:
sudo systemctl restart systemd-logind
sudo systemctl restart polkit
sudo journalctl -u systemd-logind arată:
nss_ldap: could not connect to any LDAP server as [...] - Can't contact
nss_ldap: failed to bind to LDAP server ldaps://[IP address]: Can't contact LDAP server
nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Pe partea de client a SSH, văd ce este prezentat aici: conexiunea ssh durează pentru totdeauna să se inițieze, blocată la „pledge: network”
נראה כי "apt install libnss-ldapd" נראה לפתור את הבעיה, שמסירה libnss-ldap ומתקינה nscd ו- nslcd.
apt install libnss-ldapd
systemctl restart systemd-logind
исправил мне
Я не уверен, что сработало для меня:
apt install libnss-ldapd
service nscd stop
или переход с ldapi:// на ldap://
Мой сервер REHL7 (работающий openladp)настроен для ldapi:// и у него есть клиенты RHEL7, подключающиеся через ldapi://
Однако мне не удалось заставить экземпляр Debian 11 использовать ldapi://.
РЕДАКТИРОВАТЬ:Использование ldap:// вместо ldapi:// у меня сработало.