Utilização de OpenLDAP para autenticação em vários servidores
Olá pessoal, resolvi compartilhar uma solução simples para um problema que perdurou por um tempo em alguns servidores de uma empresa a qual presto serviços. Temos um proxy que autentica usuários em uma base LDAP local e resolvemos utilizar este banco de usuários para fazer outras autenticações para facilitar as trocas de senha e liberações de acessos, basicamente.
O problema que eu enfrentava era de que um servidor que utiliza essa base de usuários do proxy para fazer autenticação do Samba e também do SSHFS (fuse) não pesquisava corretamente os usuários. Quando adicionávamos algum usuário a algum grupo, a mudança não "propagava" para o servidor Samba / SSHFS. Então conheci a ferramenta NSCD que me quebrou uma árvore! Basicamente esta ferramenta é um servidor cache de serviços de nomes. Configurei o intervalo de renovação de cache para 1 segundo máximo e está tudo perfeito agora! Não entendi o porque antes o LDAP não pesquisava corretamente e até gostaria de levantar esta pergunta aqui, há algum tipo de cache que a libnss-ldap cria ou até mesmo o PAM? Os servidores rodam com Debian Lenny e não achei em lugar algum algo sobre cache.
Enfim, que tiver este problema pode facilmente resolver com esta ferramenta. Instala-se normalmente com o apt-get e edita-se o arquivo /etc/nscd.conf. O que fiz foi somente modificar os valores padrão em:
positive-time-to-live passwd <VALOR>
negative-time-to-live passwd <VALOR>
lá pelas linhas 44 e 45.
Espero que seja útil para quem enfrenta esse mesmo problema chato!
Abraços!
Re: Utilização de OpenLDAP para autenticação em vários servidores
Citação:
Postado originalmente por
glaucioklipel
...resolvi compartilhar uma solução simples...
Parabéns pela contribuição.
Sugiro ao colega publicar no blog[1] associado ao seu perfil.
[1] https://under-linux.org/blogs/glaucioklipel/
Saudações,
Trober
-
-
-
-
-
Re: Utilização de OpenLDAP para autenticação em vários servidores
meu rei acabei de acionar aqui eu to com o seguinte problema e vamos ver se vai funcionar.
eu tenho um servidor ldap rodando na minha maquina samba coloquei o centos pra autenticar no ldap e deixei os compartilhamentos com os direitos dados pelo linux.
alguns usuarios não estão tendo acesso a essas pastas mesmo estando nos grupos que tem acesso.
Re: Utilização de OpenLDAP para autenticação em vários servidores
Opa!
Melhor dar uma olhada no seu smb.conf e também que vc poste exatamente qual o contexto do seu servidor, assim fica muito vago.
Abraço.
Re: Utilização de OpenLDAP para autenticação em vários servidores
então meu rei,
as estações windows estão autenticando normalmente o squid tbm.
eu jah estou acostumado a configurar o ldap+smb+squid.
uso o centos 6 e na familia red hat temos uma ferramenta para fazer o linux autenticar na base ldap se chama authconfig-tui la eu configuro o sistema para autenticar no ldap e deixar a pam de lado
feito isso eu crio um compartilhamento como exemplo DPTO dentro dele coloco as pastas financeiro, gerencia,administrativo etc... e dou o direito para apenas o grupo financeiro (grupo criado no ldap) ter acesso a pasta dele etc...
ate ai tudo flui normalmente, o que esta acontecendo agora e que alguns usuarios mesmo que eu coloque eles dentro do grupo financeiro fica dando acesso negado. Quando olho na base ldap o usuario está ligado ao grupo como os demais.
ja ativei o log do openldap e não apresenta uma virgula de erro =\
O problema acredito eu esta na hora que o linux vai consultar se o usuario esta no grupo ldap por algum motivo ele não enxerga ele e nega o acesso a pasta em questão.