Вероятно, некоторое продолжение кэширования. У нас была подобная проблема с sendmail
и просто перезапуск сервиса зафиксировал его.
Иногда легче, просто перезагружают сервер и очищают все те кэши где угодно в системе, чем проводят все то время, определяя, какой сервис кэшируется слишком долго. С другой стороны, это может оказаться инвестициями, когда это происходит снова, и Вы знаете который сервис перезапустить.
Перед началом удостоверьтесь Вы хвост оба /var/log/secure
И /var/log/messages
; безопасный даст Вам ошибки от pam, но сообщения дадут Вам ошибки от ssh (т.е. ошибки от запросов LDAP):
tail -f -n0 /var/log/{messages,secure}
Так, у нас есть та же установка на работе (Используя AD сервер 2003). Так как это кажется, что у Вас уже есть pam, поражающий LDAP (потому что его сбой, когда Вы пытаетесь войти в систему), позволяет, регистрируют некоторые значения /etc/ldap.conf
.
Прежде всего установите bind_policy от трудно до мягкого; трудно попытается соединиться неоднократно, экспоненциально увеличивая время сна между попытками (это ошибки, в которых Вы видели /var/log/secure
). Установка его к мягкому избавится от Ваших задержек при использовании локальной учетной записи.
bind_policy soft
Затем, проверьте использование корректных настроек для соединения (ssl, tls, и т.д.); можно использовать ldapsearch
протестировать с немного большим количеством многословия также. К сожалению, без большей отладочной информации (какой сервер является установкой, какие сообщения об ошибках возвращаются из запроса LDAP, файлов конфигурации), я боюсь, что никто не сможет помочь многому.
Надежда это помогает Вам добраться на правильном пути!
Andrew
Проверьте настройки в ldap.conf для SFU, как детализировано в
http://wiki.freaks-unidos.net/linux%20ldap%20howto#setting-up-sfu
Отображение AD схемы к posix схеме имеет смысл мне.
Другой подход должен иметь соединение поля AD и аутентифицировать использование winbind.
Я вполне уверен, что authconfig позволит Вам настроить AD.
Я никогда не использовал authconfig, чтобы сделать AD аутентификацию, я всегда настраивал его вручную, таким образом, Вы, возможно, должны выполнить некоторые дополнительные команды, чтобы запустить winbind и присоединиться к домену:
chkconfig winbind на сервисе winbind запускают сетевое соединение рекламы-U
Это только сделает автора, если Вы захотите сделать, информация об учетной записи/группе you'l должна установить это, до которого может включить SFU, как lucabotti предполагает.