abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 7
včera 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
včera 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
včera 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
9.12. 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
9.12. 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
9.12. 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
9.12. 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 810 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: ověření vůči LDAP - prodleva

30.11.2012 11:46 Dan
ověření vůči LDAP - prodleva
Přečteno: 834×

Dobrý den.

Kdysi jsem si rozchodil ověřování účtů vůči LDAP a čerpal jsem z návodu Zděňka Burdy: http://ldap.zdenda.com/. Pokud nejsem v síti, heslo se ověří z cache a systém bez problému najede. Problém nastane ale ve chvíli, když jsem připojený k jakékoliv jiné sítí a ověření se neúměrně protáhne, protože se hledá můj LDAP server. Dá se, prosím Vás, někde nastavit nějaký timeout, jak dlouho se má v případě připojení LDAP server hledat, popř. určit, že online ověření bude probíhat pouze, pokud bude PC aktuálné v konkrétním síťovém rozsahu? Díky moc.

Odpovědi

30.11.2012 12:50 ET
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
do /etc/ldap.conf [nebo kde mas ten konfigurak, zalezi na distru]

TIMEOUT <integer>

Specifies a timeout (in seconds) after which calls to synchronous LDAP APIs will abort if no response is received. Also used for any ldap_result(3) calls where a NULL timeout parameter is supplied.

http://manpages.courier-mta.org/htmlman5/ldap.conf.5.html
30.11.2012 13:13 komodo | skóre: 27 | blog: komodo
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Nebo v tom samem souboru, pripadne v novejsich distrech je to v /etc/pam_ldap.conf, nastavit

bind_policy soft
30.11.2012 13:17 ET
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
jj, tohle bude ono, jsem to nemoh najit...
30.11.2012 13:43 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Tak to nezabralo.. (po zmene jsem restartoval ldap).
30.11.2012 14:02 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Beru zpět, jsem blbej. Vypadá to, že už to maká. Změnu jsem musel provést na klientovi, ne na serveru.. Ted ale koukam, ze prihlaseni bylo rychle, ale dlouhou dobu vidim jenom plochu (bez ikon atd.), takze to asi ceka na pro zmenu na informace o uzivatelich a skupinach..
30.11.2012 16:01 komodo | skóre: 27 | blog: komodo
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Ano, samozrejme na klientovi.

No cekat na uzivatele by nemel, prave proto tam je to nastaveni, takze problem bude asi nekde jinde.
30.11.2012 16:52 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
ak by to malo byt prave resolvingom mien (owner, group), tak jednoduchy test vykonate plnym vylistovanim Desktop adresara, v ktorom sa vypis ownera a skupiny robi tiez. Ak sa to tam vypise rychlo, tak problem je asi inde.

30.11.2012 17:22 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Tak vylistovani trva dlouho...par mi minut
1.12.2012 23:53 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

tak si nainstalujte/spustite sluzbu NSCD. netreba v nej nic standardne nastavovat. NSCD je Name Switch Caching Daemon a jeho pouzitie je prave v takychto pripadoch.

...alebo uz nizsie spominany SSSD (ak je sucastou vasej distribucie). NSCD bude urcite.

pavlix avatar 2.12.2012 15:24 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
tak si nainstalujte/spustite sluzbu NSCD. netreba v nej nic standardne nastavovat. NSCD je Name Switch Caching Daemon a jeho pouzitie je prave v takychto pripadoch.
Nejsem si teď úplně 100% jistý, ale mám podezření, že nscd na takovéto případy není vůbec stavěný.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
2.12.2012 22:37 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

Neviem o inej aplikacii/utilite, ktora by poskytovala takuto funkcnost. Ked si vezmete ze SSSD je relativne nova vec, tak okrem NSCD osobne nic ine nepoznam.

A vyzera ze na podobne pouzitie asi stavany je.

pavlix avatar 2.12.2012 23:18 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Vždy jsem měl za to, že nscd cachuje jen v RAM, ale rád se nechám vyvést z omylu, ten software jsem reálně nikdy nepoužíval. V tom případě by ale pouhý restart toho démona znamenal ztrátu informací.

Nehledě na to, že by se musel dotazovat ne na jednotlivé záznamy, ale na celou databázi (jinak by nebyla jistota, že cachuje to, co má). A tady jsem měl pocit, že vytažení celé databáze může a nemusí být povoleno.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
3.12.2012 00:36 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

podla popisu cacheuje do suborov. dlzka platnosti zaznamov nieje zavisla od restartu sluzby/systemu ale od konfiguracneho parametra. da sa zvlast nastavit pre pozitivne aj negativne odpovede. na linku, ktory som pastol je vidiet ukazku cachingu po dobu 30 dni (avsak ta dlzka je asi pritiahnuta za vlasy v tomto pripade).

a ano, podla mojho pochopenia sa cacheuje len to, co je pocas jeho behu dotazovane a nie databazu ako celok. ano, je to urcite obmedzenie, ale ak uvazime ze zariadenie ktore sa pouziva aj v offline rezime je notebook konkretneho cloveka (jedneho pouzivatela), tak tipujem ze funkcnost demona je vo vacsine postacujuca.

pavlix avatar 3.12.2012 09:02 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
podla popisu cacheuje do suborov.
Asi bych si to měl někdy pořádně načíst, vypadá to, že to toho umí daleko víc, než jsem tušil.
ale ak uvazime ze zariadenie ktore sa pouziva aj v offline rezime je notebook konkretneho cloveka (jedneho pouzivatela), tak tipujem ze funkcnost demona je vo vacsine postacujuca.
Pak bych to ale viděl spíš jako užitečný hack, než jako plnohodnotné řešení.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
3.12.2012 12:48 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

a ano, podla mojho pochopenia sa cacheuje len to, co je pocas jeho behu dotazovane a nie databazu ako celok. ano, je to urcite obmedzenie, ale ak uvazime ze zariadenie ktore sa pouziva aj v offline rezime je notebook konkretneho cloveka (jedneho pouzivatela), tak tipujem ze funkcnost demona je vo vacsine postacujuca.

Na vyriesenie tohto problemu je tiez k dispozicii utilita: nss_updatedb. Citujem: "The nss_updatedb utility maintains a local cache of network directory user and group information. Used in conjunction with the pam_ccreds module, it provides a mechanism for disconnected use of network directories. These tools are designed to work with pam_ldap and nss_ldap, also available from PADL."
30.11.2012 22:06 Oto Petřík | skóre: 11 | Vrchlabí
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
místo libnss-ldapd a libpam-ldapd je možné použít SSSD proti LDAP, mělo by to mít podporu offline režimu.
3.12.2012 17:35 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

Takze suma sumarum. Problem je v chybajucom cachingu, kedze normalne sa vzdy vsetko preklada on-the-fly. Moznosti na riesenie - teda caching demony - su potrebne pri pouzivani zariadenia prepojeneho s adresarovou sluzbou v offline rezime.

Moznosti:

  • NSCD (Name Server Caching Daemon)
  • UNSCD (Micro Name Server Caching Daemon) nejaka debian modifikacia NSCD balika
  • nss_updatedb
  • SSSD (System Security Services Daemon)
4.12.2012 09:12 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Vsem dekuji za rozsahlou diskuzi. NSCD mam nainstalovany celou dobu, tak uz nevim, kde je problem.
4.12.2012 11:08 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
teraz som si vsimol... pisete ze ho mate "nainstalovany". Ale ono to nestaci. Musi byt spusteny (/etc/init.d/nscd start).
4.12.2012 11:58 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Omlouvám se za nepřesnost: NSCD mám nainstalovaný i spuštěný:)
4.12.2012 09:22 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Podle me ten caching funguje.. protoze po nejake dobe (po te, ktera je moc dlouha) vidim skupiny i uzivatele.. jen se proste snazi strasne dlouho prokousat siti k serveru, ktery neni dostupny (protoze jsem v jine siti).
4.12.2012 11:06 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

Je mozne, ze tie TTL hodnoty su vo Vasom pripade male. Totiz keby ste si spravili strace na lubovolnu aplikaciu (napr getent, id, etc.) tak zistite, ze po nacitani vsetkych potrebnych konfigurakov (nsswitch.conf, passwd, group, (libnss_)ldap.conf, ..) nasleduje pouzitie NSCD socketu. A iba v pripade, ze NSCD nie je zapnute (teda socket neexistuje), tak aplikacia pokracuje v pripajani sa na databazy (napr. LDAP) (postupne podla nsswitch.conf), ktore su vykonfene v konfigurakoch, ktore predtym nacitala.

V principe si teda myslim, ze pokial bezi NSCD, tak aplikacia sa sama nikdy priamo nepripaja na cielovu databazu/zdroj, pretoze aj keby NSCD nemal k dispozicii dany/ziadany zaznam, tak toto spojenie vykona on (NSCD) sam a nasledne tieto data preposle aplikacii a zaroven ich nacacheuje do svojej internej cache.

4.12.2012 12:17 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Dal jsem strace na id a nejdýl to visí na:
connect(4, {sa_family=AF_INET, sin_port=htons(389), sin_addr=inet_addr("10.0.10.1")}, 16) = -1 EINPROGRESS (Operation now in progress)
poll([{fd=4, events=POLLOUT|POLLERR|POLLHUP}], 1, 5000) = 0 (Timeout)
kde 10.0.10.1 je adresa LDAP serveru
4.12.2012 14:34 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
pred tymto connectom by malo byt vidiet conncect/read na NSCD socket. mohli by ste tuto cast pastnut?
4.12.2012 15:25 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
tady:
read(3, "# Dynamic resolv.conf(5) file fo"..., 4096) = 172
read(3, "", 4096)                       = 0
close(3)                                = 0
munmap(0x7f0a5fe7c000, 4096)            = 0
uname({sys="Linux", node="hp-ntb", ...}) = 0
socket(PF_FILE, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 3
connect(3, {sa_family=AF_FILE, path="/var/run/nscd/socket"}, 110) = 0
4.12.2012 19:52 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

ok, a ked sa to connectlo, tak co bolo dalej? boli tam nejake read/write operacie? inak povedane treba prist na to, preco vam nebola vratena nacacheovana hodnota.

druha vec: ako to skusate? predstavujem si to nasledovne:

  • online rezim, urobim test na id (nejakeho zvoleneho usera, alebo bez parametra) => program vrati spravny vystup.
  • potom nasleduje offline rezim (odpojenie kabla, etc) a vykonanie prikazu s ROVNAKYM parametrom (alebo bez parametra, ak nebol zadavany ani v prvom pripade).
co je vysledkom?

5.12.2012 08:12 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Vysledek je vzdy stejny. V pripade online je okamzity, v pripade offline take a v pripade, ze jsem v jine siti, cekam zhruba minutu (coz je v tu chvili opravdu dlouhy cas) na server.. ten kdyz neodpovi, vysledek take nakonec dostanu.
pavlix avatar 5.12.2012 12:30 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
To máš z toho, že spousta lidí považuje DROP za univerzální řešení a REJECT prostě nepotřebují.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
7.12.2012 12:03 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Takze?
pavlix avatar 7.12.2012 14:54 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Takže jedině nějaký workaround na idiotsky nastavenou síť. Zkrácení timeoutů je jedna možnost (pokud to jde nakonfigurovat), další je třeba detekce, zda jsi v dané síti a pokud ne, tak si ten REJECT můžeš dát do vlastního firewallu nebo tu službu nějak přepnout, aby se nesnažila dotyčné stroje kontaktovat. Případně místo reject jde použít unreachable záznamy ve směrovací tabulce, líp se s nimi pracuje než s pravidly firewallu.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
7.12.2012 15:18 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
>> Takže jedině nějaký workaround na idiotsky nastavenou síť.

Kterou sit tim ted myslite? Tu jakoukoliv "cizi"?
pavlix avatar 7.12.2012 20:49 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Ano.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
7.12.2012 16:03 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

Mne sa to proste cele nezda. Ak ma raz dane udaje nacacheovane NSCD, tak nieje jediny dovod ich ziadat znova aj keby mala byt konektivita k adresarovej sluzbe funkcna. Proste nacacheovane zaznamy maju svoje TTL pocas ktorej su v platnosti a vtedy nema co ziadny dotaz smerovat na externu sluzbu.

@Dan: mozete sem pastnut obsah suboru /etc/nscd.conf ? Tiez napiste co mate za distribuciu a verziu.

Ja si toto spravanie vyskusam vo vlastnom environmente pre porovnanie.

7.12.2012 19:14 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Tak tady:
# /etc/nscd.conf
#


	logfile			/var/log/nscd.log
#	threads			4
#	max-threads		32
#	server-user		nobody
#	stat-user		somebody
	debug-level		0
#	reload-count		5
	paranoia		no
#	restart-interval	3600

	enable-cache		passwd		yes
	positive-time-to-live	passwd		600
	negative-time-to-live	passwd		20
	suggested-size		passwd		211
	check-files		passwd		yes
	persistent		passwd		yes
	shared			passwd		yes
	max-db-size		passwd		33554432
	auto-propagate		passwd		yes

	enable-cache		group		yes
	positive-time-to-live	group		3600
	negative-time-to-live	group		60
	suggested-size		group		211
	check-files		group		yes
	persistent		group		yes
	shared			group		yes
	max-db-size		group		33554432
	auto-propagate		group		yes

# hosts caching is broken with gethostby* calls, hence is now disabled
# per default.  See /usr/share/doc/nscd/NEWS.Debian.
	enable-cache		hosts		no
	positive-time-to-live	hosts		3600
	negative-time-to-live	hosts		20
	suggested-size		hosts		211
	check-files		hosts		yes
	persistent		hosts		yes
	shared			hosts		yes
	max-db-size		hosts		33554432

	enable-cache		services	yes
	positive-time-to-live	services	28800
	negative-time-to-live	services	20
	suggested-size		services	211
	check-files		services	yes
	persistent		services	yes
	shared			services	yes
	max-db-size		services	33554432

	enable-cache		netgroup	yes
	positive-time-to-live	netgroup	28800
	negative-time-to-live	netgroup	20
	suggested-size		netgroup	211
	check-files		netgroup	yes
	persistent		netgroup	yes
	shared			netgroup	yes
	max-db-size		netgroup	33554432
Moc dekuju.
8.12.2012 11:59 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

no, pozrime sa na casovanie:

	positive-time-to-live	passwd		600
	negative-time-to-live	passwd		20

toto znamena, ze pozitivne odpovede (na passwd databazu) sa cachuju na 600s (co je 10minut). Negativne na 20 sekund.

samozrejme ze tieto hodnoty su uplne naprd v pripade, ze chcete nscd vyzivat v pure-offline rezime. kedze to s notebookom nestihnete prejst ani domov/do inej siete a uz su zaznamy expirovane. v tomto pripade sa bavime o absolutnom case od ulozenia do cache po skutocny casovy koniec na zaklade parametra TTL (teda nerata sa len cisty cas pokial je PC zapnuty, ale komplet cas).

skuste tieto hodnoty upravit nasledovne:
	positive-time-to-live	passwd		86400
	negative-time-to-live	passwd		86400
	positive-time-to-live	group		86400
	negative-time-to-live	group		86400

potom restartnut NSCD, porobit v online rezime nejake operacie na dotazy pouzivatelov a skupin (id, getent,....) no a nasledne prejst od offline rezimu alebo do kompletne inej siete. tu uz budete mat dostatocny cas, nakolko zaznamy v cache maju platnost cely den.

skuste to otestovat a dajte feedback

8.12.2012 12:13 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
este detail k postupu ktory som napisal vyssie:
  1. upravte nscd.conf a restartnite demon
  2. pouzite prikazy "nscd -i passwd" a "nscd -i group" aby ste vsetky existujuce nacacheovane zaznamy vymazali (kedze asi budu stale s povodnym TTL)
  3. no a pokracujte uz spominanymi operaciami na dotazy pouzivatelov a skupin a potom dalej
9.12.2012 10:55 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Dobrý den. Díky moc za ochotu. Tak jsem udelal vse, co pisete a budu testovat. Mam ale asi hloupy dotaz.. jak to funguje, ze kdyz jsem offline, tak nakesovany uzivatele jsou k dispozici i po uplynuti tech TTL?
9.12.2012 11:11 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

myslim si ze zaznamy expiruju. NSCD demona netrapi ze ste v offline rezime, on take veci neriesi.

druha moznost je nastavit vysoke TTL na zaznamy (pre pozitivne aj negativne odpovede), napr 30 dni. a po pripojeni do firemnej/spravnej siete proste zaznamy invalidovat (teda nechat ich okamzite expirovat) uz spominanym prikazom "nscd -i passwd" a "nscd -i group". a pocas doby pripojenia sa nacacheuju zaznamy znova. toto je sice manualny postup (na tu invalidaciu a zistenie spravnej siete), ale mozno by sa to dalo nejak vyladit aby to bolo automatizovane (ale mozno by ten sposob spocival v pouziti vlastneho skriptu, neviem).

7.12.2012 19:16 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Distribuci mam Ubuntu 12.04 a 11.04. Obe se chovaji stejne.
pavlix avatar 7.12.2012 20:50 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Proste nacacheovane zaznamy maju svoje TTL pocas ktorej su v platnosti a vtedy nema co ziadny dotaz smerovat na externu sluzbu.
Tak pokud má problémy s tím, že služba laguje na cizích sítích, tak je pravděpodobné, že je TTL v tu dobu už pryč.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
7.12.2012 22:07 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Jestli to chapu dobre, tak v tom pripade bych se nepripojil v offline vubec,ne?
pavlix avatar 7.12.2012 23:36 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Neznám dobře ten software, tak vařím z vody. Časování jde udělat i tak, že je různý čas na obnovení cache a různý na vyřazení z cache.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
9.12.2012 11:15 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Tak cache na uzivatele odpovida uz okamzite. Jen mam problem se sudo.. To porad trva skoro minutu.. i kdyz jsem sudo pod tim konkretnim uzivatelem spoustel i v online rezimu. Neda se nakesovat kompletni informace o skupinach a uzivatelech nejak automaticky? Uzivatelu mam vic a zrovna v online modu se pod vsemi nepripojim a pak je s nimi ten casovy problem, protoze nejsou v kesi.
9.12.2012 11:22 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
neviem co vsetko vyzaduje sudo. ano je pravda, ze NSCD je len ucelove riesenie avsak nenahradza kompletne vypadok databazy, pre jedneho usera zvycajne postacuje, pri viacerych uz asi nie. skuste sa popozerat po nss_updatedb (uz som ho spominal) vyzera ze si natiahne komplet databazu passwd aj group. alebo SSSD.
9.12.2012 12:46 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva

nss_updatedb mam, asi jsem to prehledl. Mam nastaveno presne takto http://www.ictspecialista.cz/archives/609

9.12.2012 21:37 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
aj spominany nsswitch.conf?
passwd:         files ldap [NOTFOUND=return] db
group:          files ldap [NOTFOUND=return] db
a crond?
sudo echo '#!/bin/sh'               | sudo tee    /etc/cron.daily/upd-local-nss-db &&
sudo echo `which nss_updatedb` ldap | sudo tee -a /etc/cron.daily/upd-local-nss-db &&
sudo chmod +x /etc/cron.daily/upd-local-nss-db
10.12.2012 20:47 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
ano ano, vsechno nastaveno, pro jistotu zkontrolovano
10.12.2012 20:52 Dan
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
-rwxr-xr-x 1 root root 214 dub 20 2012 update-notifier-common
cat upd-local-nss-db
#!/bin/sh
/usr/sbin/nss_updatedb ldap
8.12.2012 12:09 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Inak toto som si vcera odskusal na svojej distribucii (CentOS 6.3) s tym, ze ako offline rezim som pouzil blokovanie odchodzej LDAP prevadzky cez iptables (a just som pouzil DROP a nie REJECT :-) ) a funguje to presne tak, ako o tom pisem:
  1. v online rezime som si nacacheoval zaznam cez "id username".
  2. nasledne som aplikoval iptables pravidlo
  3. vykonal som test na rovnaky zaznam "id username" s pozitivnym vysledkom bez akehokolvek cakania.
  4. nasledne som spravil test na odlisny zaznam cez "id username2" no a tu som si uz musel pockat na timeout (pol minuty?) a s negativnym vysledkom na konci.

Sice ako LDAP connector som nepouzil nss_ldap (klasicka PADL verzia), ale nss-pam-ldapd (kedze nss_ldap uz podla vsetkeho nieje sucastou CentOS 6). Ale to by malo byt uplne jedno, kedze princip komunikacie jednotlivych komponentov je rovnaky.

9.12.2012 11:02 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Koukam, ze to resis uz 14 dni s nic moc vysledkem.
Zamysli se, jestli by pro tebe nebylo lepsi nahodit na svem pocitaci lokalni repliku LDAPu a overovani proti ni.
9.12.2012 11:13 timeos | skóre: 32
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
:-) Viete si to realne predstavit s X rovnakymi zamestnancami vo firme s firemnym notebookom a nutnosti pripojenia na firemny adresar? ja teda nie :) o bezpecnosti nehovoriac.
9.12.2012 11:38 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: ověření vůči LDAP - prodleva
Nutnost pripojeni na firemni adresar = nutnost byt online na VPN. Offline overovani proti LDAPu je zvrhle obecne.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.