Utilização de OpenLDAP para autenticação em vários servidores

[glaucioklipel]

Olá pessoal, resolvi compartilhar uma solução simples para um problema que perdurou por um tempo em alguns servidores de uma empresa a qual presto serviços. Temos um proxy que autentica usuários em uma base LDAP local e resolvemos utilizar este banco de usuários para fazer outras autenticações para facilitar as trocas de senha e liberações de acessos, basicamente.

O problema que eu enfrentava era de que um servidor que utiliza essa base de usuários do proxy para fazer autenticação do Samba e também do SSHFS (fuse) não pesquisava corretamente os usuários. Quando adicionávamos algum usuário a algum grupo, a mudança não "propagava" para o servidor Samba / SSHFS. Então conheci a ferramenta NSCD que me quebrou uma árvore! Basicamente esta ferramenta é um servidor cache de serviços de nomes. Configurei o intervalo de renovação de cache para 1 segundo máximo e está tudo perfeito agora! Não entendi o porque antes o LDAP não pesquisava corretamente e até gostaria de levantar esta pergunta aqui, há algum tipo de cache que a libnss-ldap cria ou até mesmo o PAM? Os servidores rodam com Debian Lenny e não achei em lugar algum algo sobre cache.

Enfim, que tiver este problema pode facilmente resolver com esta ferramenta. Instala-se normalmente com o apt-get e edita-se o arquivo /etc/nscd.conf. O que fiz foi somente modificar os valores padrão em:

positive-time-to-live passwd <VALOR>
negative-time-to-live passwd <VALOR>

lá pelas linhas 44 e 45.

Espero que seja útil para quem enfrenta esse mesmo problema chato!

Abraços!

[trober]

...resolvi compartilhar uma solução simples...

Parabéns pela contribuição.

Sugiro ao colega publicar no blog[1] associado ao seu perfil.

[1] https://under-linux.org/blogs/glaucioklipel/

Saudações,

Trober
-
-
-
-
-

[noir]

meu rei acabei de acionar aqui eu to com o seguinte problema e vamos ver se vai funcionar.

eu tenho um servidor ldap rodando na minha maquina samba coloquei o centos pra autenticar no ldap e deixei os compartilhamentos com os direitos dados pelo linux.

alguns usuarios não estão tendo acesso a essas pastas mesmo estando nos grupos que tem acesso.

[glaucioklipel]

Opa!

Melhor dar uma olhada no seu smb.conf e também que vc poste exatamente qual o contexto do seu servidor, assim fica muito vago.



Abraço.

[noir]

então meu rei,

as estações windows estão autenticando normalmente o squid tbm.

eu jah estou acostumado a configurar o ldap+smb+squid.

uso o centos 6 e na familia red hat temos uma ferramenta para fazer o linux autenticar na base ldap se chama authconfig-tui la eu configuro o sistema para autenticar no ldap e deixar a pam de lado

feito isso eu crio um compartilhamento como exemplo DPTO dentro dele coloco as pastas financeiro, gerencia,administrativo etc... e dou o direito para apenas o grupo financeiro (grupo criado no ldap) ter acesso a pasta dele etc...

ate ai tudo flui normalmente, o que esta acontecendo agora e que alguns usuarios mesmo que eu coloque eles dentro do grupo financeiro fica dando acesso negado. Quando olho na base ldap o usuario está ligado ao grupo como os demais.

ja ativei o log do openldap e não apresenta uma virgula de erro =\

O problema acredito eu esta na hora que o linux vai consultar se o usuario esta no grupo ldap por algum motivo ele não enxerga ele e nega o acesso a pasta em questão.