Эти материалы являются объектом авторского права и защищены законами РФ и международными соглашениями о защите авторских прав. Перед использованием материалов вы обязаны принять условия лицензионного договора на использование этих материалов, или же вы не имеете права использовать настоящие материалы

Вопрос: В дистрибутиве ASPLinux 11.2 наблюдается отказ сервиса LDAP загружаться после перезагрузки сервера. Что можно посоветовать ?

Вопрос: Можно ли обеспечить авторизацию пользователей на нескольких серверах UNIX, используя данные единственного каталога LDAP и соответствующую компоненту ?

Вопрос: В дистрибутиве ASPLinux 11.2 наблюдается отказ сервиса LDAP загружаться после перезагрузки сервера. Что можно посоветовать ?

Ответ: В общем случае ответ по сервисам ОС должен давать производитель, автор не является консультантом по настройке операционных систем. Однако в данном конкретном случае дистрибутив является одним из базовых для дочерних решений, а вопрос задан в объёме работы компоненты

Действительно, проблема наблюдается. Исследования показали, что при перезагрузке сбиваются права на часть файлов, хранящих данные каталога LDAP, что, вкупе с запуском сервиса LDAP из под непривилегированного пользователя создает описываемый эффект. Методов борьбы может быть несколько - написать собственный файл запуска сервиса (init), запускать сервис из под root и т.п. Для того, чтобы не трогать файлы дистрибутива, в т.ч. инициализационный файл сервиса LDAP, можно добавить в конец /etc/rc.d/rc.local следующие команды, которые будут восстанавливать права при каждом перезапуске сервера:

service ldap stop
su - ldap -c "/usr/bin/db_recover -v -h /var/lib/ldap"
service ldap start
service ldap stop
chown ldap:ldap /var/lib/ldap/*
service ldap start
su - ldap -c "/usr/bin/db_checkpoint -h /var/lib/ldap -p 1 &"

Кроме проведения восстановления DB и прав доступа, этот командный блок запускает принудительную запись контрольной точки DB каждую секунду, что позволяет увеличить вероятность сохранения модифицированных данных в каталоге. Впрочем, выставить период сбрасывания контролькой точки на диск пользователь, при необходимости, может и сам

Вопрос: Можно ли обеспечить авторизацию пользователей на нескольких серверах UNIX, используя данные единственного каталога LDAP и соответствующую компоненту ?

Ответ: Каталог LDAP предназначен в том числе и для организации подобных решений. Будучи развернутым на одной машине, он может предоставлять данные учётных записей множеству серверов. Компонента не вносит а работу каталога каких либо существенных изменений, ее задача - удобное управление записями каталога

Таким образом для конфигурирования нескольких серверов на авторизацию из каталога LDAP необходимо выполнить только стандартные процедуры, с которыми может справиться любой грамотный UNIX администратор. Напомню о них вкратце - установка клиентских модулей pam_ldap и nss_ldap, конфигурирование модулей, модификация файла /etc/nsswitch.conf, модификация аутентификационной конфигурации PAM операционной системы (для Linux это обычно /etc/pam.d/system-auth). Опционально можно сконфигурировать обмен между каталогом LDAP и серверами с применением SSL/TLS, что рекомендуется для повышения безопасности решения