abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 00:55 | Nová verze

Po téměř 13 měsících vývoje od verze 0.11.0 byla vydána verze 0.12.0 hardwarově nenáročného desktopového prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklého sloučením projektů Razor-qt a LXDE. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
včera 12:33 | Zajímavý software

Článek ne Medium představuje nejnovější stabilní verzi 2.0 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Detailní přehled novinek na GitHubu [Hacker News].

Ladislav Hagara | Komentářů: 0
včera 06:00 | Komunita

V Praze na půdě Elektrotechnické fakulty ČVUT dnes probíhá RT-Summit 2017 – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt. Přednášky lze sledovat online na YouTube.

Ladislav Hagara | Komentářů: 0
20.10. 14:33 | Zajímavý projekt

Blender Animation Studio zveřejnilo první epizodu z připravovaného animovaného seriálu The Daily Dweebs o domácím mazlíčkovi jménem Dixey. Ke zhlédnutí také ve 3D s rozlišením 8K.

Ladislav Hagara | Komentářů: 0
20.10. 12:34 | Komunita

Aktualizovanou počítačovou hru Warhammer 40,000: Dawn of War III v ceně 39,99 eur běžící také na Linuxu lze o víkendu na Steamu hrát zdarma a případně ještě v pondělí koupit s 50% slevou. Do soboty 19:00 lze na Humble Bundle získat zdarma Steam klíč k počítačové hře Sid Meier's Civilization® III v ceně 4,99 eur běžící také ve Wine.

Ladislav Hagara | Komentářů: 0
20.10. 00:22 | Nasazení Linuxu

Společnost Samsung oznámila, že skrze dokovací stanici DeX a aplikaci Linux on Galaxy bude možno na Samsung Galaxy S8 a S8+ a Galaxy Note 8 provozovat Linux. Distribuce nebyly blíže upřesněny.

Phantom Alien | Komentářů: 19
19.10. 23:55 | Komunita

Společnost Purism na svém blogu oznámila, že její notebooky Librem jsou nově dodávány se zrušeným (neutralized and disabled) Intel Management Engine (ME). Aktualizací corebootu na již prodaných noteboocích lze Management Engine také zrušit. Více v podrobném článku.

Ladislav Hagara | Komentářů: 0
19.10. 21:44 | Nová verze

Organizace Apache Software Foundation (ASF) na svém blogu slaví páté výročí kancelářského balíku Apache OpenOffice jako jejího Top-Level projektu. Při této příležitosti byl vydán Apache OpenOffice 4.1.4 (AOO 4.1.4). Podrobnosti v poznámkách k vydání. Dlouhé čekání na novou verzi tak skončilo.

Ladislav Hagara | Komentářů: 6
19.10. 19:22 | Pozvánky

Již příští týden - 26. a 27. října se v Praze v hotelu Olšanka odehraje OpenWRT Summit. Na webu konference naleznete program a možnost zakoupení lístků - ty stojí 55 dolarů. Čtvrtek bude přednáškový a v pátek se budou odehrávat převážně workshopy a meetingy.

Miška | Komentářů: 1
19.10. 13:44 | Nová verze

Bylo vydáno Ubuntu 17.10 s kódovým názvem Artful Aardvark. Ke stažení jsou Ubuntu Desktop a Server, Ubuntu Cloud Images, Ubuntu Netboot, Kubuntu, Lubuntu a Lubuntu Alternate, Lubuntu Next, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 23
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (10%)
 (1%)
 (1%)
 (1%)
 (75%)
 (13%)
Celkem 169 hlasů
 Komentářů: 7, poslední 19.10. 23:06
    Rozcestník

    Dotaz: ověření vůči LDAP - prodleva

    30.11.2012 11:46 Dan
    ověření vůči LDAP - prodleva
    Přečteno: 839×

    Dobrý den.

    Kdysi jsem si rozchodil ověřování účtů vůči LDAP a čerpal jsem z návodu Zděňka Burdy: http://ldap.zdenda.com/. Pokud nejsem v síti, heslo se ověří z cache a systém bez problému najede. Problém nastane ale ve chvíli, když jsem připojený k jakékoliv jiné sítí a ověření se neúměrně protáhne, protože se hledá můj LDAP server. Dá se, prosím Vás, někde nastavit nějaký timeout, jak dlouho se má v případě připojení LDAP server hledat, popř. určit, že online ověření bude probíhat pouze, pokud bude PC aktuálné v konkrétním síťovém rozsahu? Díky moc.

    Odpovědi

    30.11.2012 12:50 ET
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    do /etc/ldap.conf [nebo kde mas ten konfigurak, zalezi na distru]

    TIMEOUT <integer>

    Specifies a timeout (in seconds) after which calls to synchronous LDAP APIs will abort if no response is received. Also used for any ldap_result(3) calls where a NULL timeout parameter is supplied.

    http://manpages.courier-mta.org/htmlman5/ldap.conf.5.html
    30.11.2012 13:13 komodo | skóre: 27 | blog: komodo
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Nebo v tom samem souboru, pripadne v novejsich distrech je to v /etc/pam_ldap.conf, nastavit

    bind_policy soft
    30.11.2012 13:17 ET
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    jj, tohle bude ono, jsem to nemoh najit...
    30.11.2012 13:43 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Tak to nezabralo.. (po zmene jsem restartoval ldap).
    30.11.2012 14:02 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Beru zpět, jsem blbej. Vypadá to, že už to maká. Změnu jsem musel provést na klientovi, ne na serveru.. Ted ale koukam, ze prihlaseni bylo rychle, ale dlouhou dobu vidim jenom plochu (bez ikon atd.), takze to asi ceka na pro zmenu na informace o uzivatelich a skupinach..
    30.11.2012 16:01 komodo | skóre: 27 | blog: komodo
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Ano, samozrejme na klientovi.

    No cekat na uzivatele by nemel, prave proto tam je to nastaveni, takze problem bude asi nekde jinde.
    30.11.2012 16:52 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    ak by to malo byt prave resolvingom mien (owner, group), tak jednoduchy test vykonate plnym vylistovanim Desktop adresara, v ktorom sa vypis ownera a skupiny robi tiez. Ak sa to tam vypise rychlo, tak problem je asi inde.

    30.11.2012 17:22 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Tak vylistovani trva dlouho...par mi minut
    1.12.2012 23:53 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    tak si nainstalujte/spustite sluzbu NSCD. netreba v nej nic standardne nastavovat. NSCD je Name Switch Caching Daemon a jeho pouzitie je prave v takychto pripadoch.

    ...alebo uz nizsie spominany SSSD (ak je sucastou vasej distribucie). NSCD bude urcite.

    pavlix avatar 2.12.2012 15:24 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    tak si nainstalujte/spustite sluzbu NSCD. netreba v nej nic standardne nastavovat. NSCD je Name Switch Caching Daemon a jeho pouzitie je prave v takychto pripadoch.
    Nejsem si teď úplně 100% jistý, ale mám podezření, že nscd na takovéto případy není vůbec stavěný.
    2.12.2012 22:37 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    Neviem o inej aplikacii/utilite, ktora by poskytovala takuto funkcnost. Ked si vezmete ze SSSD je relativne nova vec, tak okrem NSCD osobne nic ine nepoznam.

    A vyzera ze na podobne pouzitie asi stavany je.

    pavlix avatar 2.12.2012 23:18 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Vždy jsem měl za to, že nscd cachuje jen v RAM, ale rád se nechám vyvést z omylu, ten software jsem reálně nikdy nepoužíval. V tom případě by ale pouhý restart toho démona znamenal ztrátu informací.

    Nehledě na to, že by se musel dotazovat ne na jednotlivé záznamy, ale na celou databázi (jinak by nebyla jistota, že cachuje to, co má). A tady jsem měl pocit, že vytažení celé databáze může a nemusí být povoleno.
    3.12.2012 00:36 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    podla popisu cacheuje do suborov. dlzka platnosti zaznamov nieje zavisla od restartu sluzby/systemu ale od konfiguracneho parametra. da sa zvlast nastavit pre pozitivne aj negativne odpovede. na linku, ktory som pastol je vidiet ukazku cachingu po dobu 30 dni (avsak ta dlzka je asi pritiahnuta za vlasy v tomto pripade).

    a ano, podla mojho pochopenia sa cacheuje len to, co je pocas jeho behu dotazovane a nie databazu ako celok. ano, je to urcite obmedzenie, ale ak uvazime ze zariadenie ktore sa pouziva aj v offline rezime je notebook konkretneho cloveka (jedneho pouzivatela), tak tipujem ze funkcnost demona je vo vacsine postacujuca.

    pavlix avatar 3.12.2012 09:02 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    podla popisu cacheuje do suborov.
    Asi bych si to měl někdy pořádně načíst, vypadá to, že to toho umí daleko víc, než jsem tušil.
    ale ak uvazime ze zariadenie ktore sa pouziva aj v offline rezime je notebook konkretneho cloveka (jedneho pouzivatela), tak tipujem ze funkcnost demona je vo vacsine postacujuca.
    Pak bych to ale viděl spíš jako užitečný hack, než jako plnohodnotné řešení.
    3.12.2012 12:48 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    a ano, podla mojho pochopenia sa cacheuje len to, co je pocas jeho behu dotazovane a nie databazu ako celok. ano, je to urcite obmedzenie, ale ak uvazime ze zariadenie ktore sa pouziva aj v offline rezime je notebook konkretneho cloveka (jedneho pouzivatela), tak tipujem ze funkcnost demona je vo vacsine postacujuca.

    Na vyriesenie tohto problemu je tiez k dispozicii utilita: nss_updatedb. Citujem: "The nss_updatedb utility maintains a local cache of network directory user and group information. Used in conjunction with the pam_ccreds module, it provides a mechanism for disconnected use of network directories. These tools are designed to work with pam_ldap and nss_ldap, also available from PADL."
    30.11.2012 22:06 Oto Petřík | skóre: 11 | Vrchlabí
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    místo libnss-ldapd a libpam-ldapd je možné použít SSSD proti LDAP, mělo by to mít podporu offline režimu.
    3.12.2012 17:35 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    Takze suma sumarum. Problem je v chybajucom cachingu, kedze normalne sa vzdy vsetko preklada on-the-fly. Moznosti na riesenie - teda caching demony - su potrebne pri pouzivani zariadenia prepojeneho s adresarovou sluzbou v offline rezime.

    Moznosti:

    • NSCD (Name Server Caching Daemon)
    • UNSCD (Micro Name Server Caching Daemon) nejaka debian modifikacia NSCD balika
    • nss_updatedb
    • SSSD (System Security Services Daemon)
    4.12.2012 09:12 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Vsem dekuji za rozsahlou diskuzi. NSCD mam nainstalovany celou dobu, tak uz nevim, kde je problem.
    4.12.2012 11:08 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    teraz som si vsimol... pisete ze ho mate "nainstalovany". Ale ono to nestaci. Musi byt spusteny (/etc/init.d/nscd start).
    4.12.2012 11:58 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Omlouvám se za nepřesnost: NSCD mám nainstalovaný i spuštěný:)
    4.12.2012 09:22 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Podle me ten caching funguje.. protoze po nejake dobe (po te, ktera je moc dlouha) vidim skupiny i uzivatele.. jen se proste snazi strasne dlouho prokousat siti k serveru, ktery neni dostupny (protoze jsem v jine siti).
    4.12.2012 11:06 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    Je mozne, ze tie TTL hodnoty su vo Vasom pripade male. Totiz keby ste si spravili strace na lubovolnu aplikaciu (napr getent, id, etc.) tak zistite, ze po nacitani vsetkych potrebnych konfigurakov (nsswitch.conf, passwd, group, (libnss_)ldap.conf, ..) nasleduje pouzitie NSCD socketu. A iba v pripade, ze NSCD nie je zapnute (teda socket neexistuje), tak aplikacia pokracuje v pripajani sa na databazy (napr. LDAP) (postupne podla nsswitch.conf), ktore su vykonfene v konfigurakoch, ktore predtym nacitala.

    V principe si teda myslim, ze pokial bezi NSCD, tak aplikacia sa sama nikdy priamo nepripaja na cielovu databazu/zdroj, pretoze aj keby NSCD nemal k dispozicii dany/ziadany zaznam, tak toto spojenie vykona on (NSCD) sam a nasledne tieto data preposle aplikacii a zaroven ich nacacheuje do svojej internej cache.

    4.12.2012 12:17 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Dal jsem strace na id a nejdýl to visí na:
    connect(4, {sa_family=AF_INET, sin_port=htons(389), sin_addr=inet_addr("10.0.10.1")}, 16) = -1 EINPROGRESS (Operation now in progress)
    poll([{fd=4, events=POLLOUT|POLLERR|POLLHUP}], 1, 5000) = 0 (Timeout)
    kde 10.0.10.1 je adresa LDAP serveru
    4.12.2012 14:34 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    pred tymto connectom by malo byt vidiet conncect/read na NSCD socket. mohli by ste tuto cast pastnut?
    4.12.2012 15:25 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    tady:
    read(3, "# Dynamic resolv.conf(5) file fo"..., 4096) = 172
    read(3, "", 4096)                       = 0
    close(3)                                = 0
    munmap(0x7f0a5fe7c000, 4096)            = 0
    uname({sys="Linux", node="hp-ntb", ...}) = 0
    socket(PF_FILE, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 3
    connect(3, {sa_family=AF_FILE, path="/var/run/nscd/socket"}, 110) = 0
    4.12.2012 19:52 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    ok, a ked sa to connectlo, tak co bolo dalej? boli tam nejake read/write operacie? inak povedane treba prist na to, preco vam nebola vratena nacacheovana hodnota.

    druha vec: ako to skusate? predstavujem si to nasledovne:

    • online rezim, urobim test na id (nejakeho zvoleneho usera, alebo bez parametra) => program vrati spravny vystup.
    • potom nasleduje offline rezim (odpojenie kabla, etc) a vykonanie prikazu s ROVNAKYM parametrom (alebo bez parametra, ak nebol zadavany ani v prvom pripade).
    co je vysledkom?

    5.12.2012 08:12 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Vysledek je vzdy stejny. V pripade online je okamzity, v pripade offline take a v pripade, ze jsem v jine siti, cekam zhruba minutu (coz je v tu chvili opravdu dlouhy cas) na server.. ten kdyz neodpovi, vysledek take nakonec dostanu.
    pavlix avatar 5.12.2012 12:30 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    To máš z toho, že spousta lidí považuje DROP za univerzální řešení a REJECT prostě nepotřebují.
    7.12.2012 12:03 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Takze?
    pavlix avatar 7.12.2012 14:54 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Takže jedině nějaký workaround na idiotsky nastavenou síť. Zkrácení timeoutů je jedna možnost (pokud to jde nakonfigurovat), další je třeba detekce, zda jsi v dané síti a pokud ne, tak si ten REJECT můžeš dát do vlastního firewallu nebo tu službu nějak přepnout, aby se nesnažila dotyčné stroje kontaktovat. Případně místo reject jde použít unreachable záznamy ve směrovací tabulce, líp se s nimi pracuje než s pravidly firewallu.
    7.12.2012 15:18 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    >> Takže jedině nějaký workaround na idiotsky nastavenou síť.

    Kterou sit tim ted myslite? Tu jakoukoliv "cizi"?
    pavlix avatar 7.12.2012 20:49 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    7.12.2012 16:03 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    Mne sa to proste cele nezda. Ak ma raz dane udaje nacacheovane NSCD, tak nieje jediny dovod ich ziadat znova aj keby mala byt konektivita k adresarovej sluzbe funkcna. Proste nacacheovane zaznamy maju svoje TTL pocas ktorej su v platnosti a vtedy nema co ziadny dotaz smerovat na externu sluzbu.

    @Dan: mozete sem pastnut obsah suboru /etc/nscd.conf ? Tiez napiste co mate za distribuciu a verziu.

    Ja si toto spravanie vyskusam vo vlastnom environmente pre porovnanie.

    7.12.2012 19:14 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Tak tady:
    # /etc/nscd.conf
    #
    
    
    	logfile			/var/log/nscd.log
    #	threads			4
    #	max-threads		32
    #	server-user		nobody
    #	stat-user		somebody
    	debug-level		0
    #	reload-count		5
    	paranoia		no
    #	restart-interval	3600
    
    	enable-cache		passwd		yes
    	positive-time-to-live	passwd		600
    	negative-time-to-live	passwd		20
    	suggested-size		passwd		211
    	check-files		passwd		yes
    	persistent		passwd		yes
    	shared			passwd		yes
    	max-db-size		passwd		33554432
    	auto-propagate		passwd		yes
    
    	enable-cache		group		yes
    	positive-time-to-live	group		3600
    	negative-time-to-live	group		60
    	suggested-size		group		211
    	check-files		group		yes
    	persistent		group		yes
    	shared			group		yes
    	max-db-size		group		33554432
    	auto-propagate		group		yes
    
    # hosts caching is broken with gethostby* calls, hence is now disabled
    # per default.  See /usr/share/doc/nscd/NEWS.Debian.
    	enable-cache		hosts		no
    	positive-time-to-live	hosts		3600
    	negative-time-to-live	hosts		20
    	suggested-size		hosts		211
    	check-files		hosts		yes
    	persistent		hosts		yes
    	shared			hosts		yes
    	max-db-size		hosts		33554432
    
    	enable-cache		services	yes
    	positive-time-to-live	services	28800
    	negative-time-to-live	services	20
    	suggested-size		services	211
    	check-files		services	yes
    	persistent		services	yes
    	shared			services	yes
    	max-db-size		services	33554432
    
    	enable-cache		netgroup	yes
    	positive-time-to-live	netgroup	28800
    	negative-time-to-live	netgroup	20
    	suggested-size		netgroup	211
    	check-files		netgroup	yes
    	persistent		netgroup	yes
    	shared			netgroup	yes
    	max-db-size		netgroup	33554432
    Moc dekuju.
    8.12.2012 11:59 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    no, pozrime sa na casovanie:

    	positive-time-to-live	passwd		600
    	negative-time-to-live	passwd		20

    toto znamena, ze pozitivne odpovede (na passwd databazu) sa cachuju na 600s (co je 10minut). Negativne na 20 sekund.

    samozrejme ze tieto hodnoty su uplne naprd v pripade, ze chcete nscd vyzivat v pure-offline rezime. kedze to s notebookom nestihnete prejst ani domov/do inej siete a uz su zaznamy expirovane. v tomto pripade sa bavime o absolutnom case od ulozenia do cache po skutocny casovy koniec na zaklade parametra TTL (teda nerata sa len cisty cas pokial je PC zapnuty, ale komplet cas).

    skuste tieto hodnoty upravit nasledovne:
    	positive-time-to-live	passwd		86400
    	negative-time-to-live	passwd		86400
    	positive-time-to-live	group		86400
    	negative-time-to-live	group		86400

    potom restartnut NSCD, porobit v online rezime nejake operacie na dotazy pouzivatelov a skupin (id, getent,....) no a nasledne prejst od offline rezimu alebo do kompletne inej siete. tu uz budete mat dostatocny cas, nakolko zaznamy v cache maju platnost cely den.

    skuste to otestovat a dajte feedback

    8.12.2012 12:13 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    este detail k postupu ktory som napisal vyssie:
    1. upravte nscd.conf a restartnite demon
    2. pouzite prikazy "nscd -i passwd" a "nscd -i group" aby ste vsetky existujuce nacacheovane zaznamy vymazali (kedze asi budu stale s povodnym TTL)
    3. no a pokracujte uz spominanymi operaciami na dotazy pouzivatelov a skupin a potom dalej
    9.12.2012 10:55 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Dobrý den. Díky moc za ochotu. Tak jsem udelal vse, co pisete a budu testovat. Mam ale asi hloupy dotaz.. jak to funguje, ze kdyz jsem offline, tak nakesovany uzivatele jsou k dispozici i po uplynuti tech TTL?
    9.12.2012 11:11 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    myslim si ze zaznamy expiruju. NSCD demona netrapi ze ste v offline rezime, on take veci neriesi.

    druha moznost je nastavit vysoke TTL na zaznamy (pre pozitivne aj negativne odpovede), napr 30 dni. a po pripojeni do firemnej/spravnej siete proste zaznamy invalidovat (teda nechat ich okamzite expirovat) uz spominanym prikazom "nscd -i passwd" a "nscd -i group". a pocas doby pripojenia sa nacacheuju zaznamy znova. toto je sice manualny postup (na tu invalidaciu a zistenie spravnej siete), ale mozno by sa to dalo nejak vyladit aby to bolo automatizovane (ale mozno by ten sposob spocival v pouziti vlastneho skriptu, neviem).

    7.12.2012 19:16 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Distribuci mam Ubuntu 12.04 a 11.04. Obe se chovaji stejne.
    pavlix avatar 7.12.2012 20:50 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Proste nacacheovane zaznamy maju svoje TTL pocas ktorej su v platnosti a vtedy nema co ziadny dotaz smerovat na externu sluzbu.
    Tak pokud má problémy s tím, že služba laguje na cizích sítích, tak je pravděpodobné, že je TTL v tu dobu už pryč.
    7.12.2012 22:07 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Jestli to chapu dobre, tak v tom pripade bych se nepripojil v offline vubec,ne?
    pavlix avatar 7.12.2012 23:36 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Neznám dobře ten software, tak vařím z vody. Časování jde udělat i tak, že je různý čas na obnovení cache a různý na vyřazení z cache.
    9.12.2012 11:15 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Tak cache na uzivatele odpovida uz okamzite. Jen mam problem se sudo.. To porad trva skoro minutu.. i kdyz jsem sudo pod tim konkretnim uzivatelem spoustel i v online rezimu. Neda se nakesovat kompletni informace o skupinach a uzivatelech nejak automaticky? Uzivatelu mam vic a zrovna v online modu se pod vsemi nepripojim a pak je s nimi ten casovy problem, protoze nejsou v kesi.
    9.12.2012 11:22 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    neviem co vsetko vyzaduje sudo. ano je pravda, ze NSCD je len ucelove riesenie avsak nenahradza kompletne vypadok databazy, pre jedneho usera zvycajne postacuje, pri viacerych uz asi nie. skuste sa popozerat po nss_updatedb (uz som ho spominal) vyzera ze si natiahne komplet databazu passwd aj group. alebo SSSD.
    9.12.2012 12:46 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

    nss_updatedb mam, asi jsem to prehledl. Mam nastaveno presne takto http://www.ictspecialista.cz/archives/609

    9.12.2012 21:37 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    aj spominany nsswitch.conf?
    passwd:         files ldap [NOTFOUND=return] db
    group:          files ldap [NOTFOUND=return] db
    a crond?
    sudo echo '#!/bin/sh'               | sudo tee    /etc/cron.daily/upd-local-nss-db &&
    sudo echo `which nss_updatedb` ldap | sudo tee -a /etc/cron.daily/upd-local-nss-db &&
    sudo chmod +x /etc/cron.daily/upd-local-nss-db
    10.12.2012 20:47 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    ano ano, vsechno nastaveno, pro jistotu zkontrolovano
    10.12.2012 20:52 Dan
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    -rwxr-xr-x 1 root root 214 dub 20 2012 update-notifier-common
    cat upd-local-nss-db
    #!/bin/sh
    /usr/sbin/nss_updatedb ldap
    
    8.12.2012 12:09 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Inak toto som si vcera odskusal na svojej distribucii (CentOS 6.3) s tym, ze ako offline rezim som pouzil blokovanie odchodzej LDAP prevadzky cez iptables (a just som pouzil DROP a nie REJECT :-) ) a funguje to presne tak, ako o tom pisem:
    1. v online rezime som si nacacheoval zaznam cez "id username".
    2. nasledne som aplikoval iptables pravidlo
    3. vykonal som test na rovnaky zaznam "id username" s pozitivnym vysledkom bez akehokolvek cakania.
    4. nasledne som spravil test na odlisny zaznam cez "id username2" no a tu som si uz musel pockat na timeout (pol minuty?) a s negativnym vysledkom na konci.

    Sice ako LDAP connector som nepouzil nss_ldap (klasicka PADL verzia), ale nss-pam-ldapd (kedze nss_ldap uz podla vsetkeho nieje sucastou CentOS 6). Ale to by malo byt uplne jedno, kedze princip komunikacie jednotlivych komponentov je rovnaky.

    9.12.2012 11:02 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Koukam, ze to resis uz 14 dni s nic moc vysledkem.
    Zamysli se, jestli by pro tebe nebylo lepsi nahodit na svem pocitaci lokalni repliku LDAPu a overovani proti ni.
    9.12.2012 11:13 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    :-) Viete si to realne predstavit s X rovnakymi zamestnancami vo firme s firemnym notebookom a nutnosti pripojenia na firemny adresar? ja teda nie :) o bezpecnosti nehovoriac.
    9.12.2012 11:38 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
    Nutnost pripojeni na firemni adresar = nutnost byt online na VPN. Offline overovani proti LDAPu je zvrhle obecne.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.