Authentification LDAP et conséquences sur les users systemes

Support Debian
#1

Bonjour,

Nouveau sur ce forum, je me permets de poser une question sur l’authentification ldap et ses conséquences sur les utilisateurs systèmes.

La où je travaille, nous authentifions nos serveurs sur un proxy ldap propriétaire mais qui respecte très bien les RFC.

Par contre, le progiciel a un dysfonctionnement qui fait que de manière aléatoire, il accepte les connexions entrantes LDAP et LDAPS mais ne réponds pas aux questions. En gros, il ouvre le socket pour la communication avec le client mais ne fais plus rien ensuite.

Du coup, les utilisateurs ne peuvent pas se connecter mais à la rigueur, c’est gérable (autant que possible…).

Là où ca pose un gros souci, c’est que du coup, certains services systèmes tels que postfix, apache, pure-ftp, cessent de fonctionner car, bien que l’utilisateur postfix, par exemple, existe dans passwd, il y a une requête ldap faite par nss-ldap sur l’annuaire.

Cette requête échoue bien évidemment car je n’ai pas mis les utilisateurs systèmes dans l’annuaire, mais, en temps normal, ldap passe la main aux fichiers locaux et ca fonctionne très bien.

Du coup, deux questions :

  • Est-ce normal qu’une requête soit faite tout de même sur le ldap malgré le fait que l’utilisateur existe en local ?

  • Auriez-vous un moyen de contourner celà ?

Merci pour vos réponses.

#2

encore heureux …

fait le contraire… penses bien par exemple que root doit toujours pouvoir se connecter à la machine. que le serveur ldap soit présent ou non.

dans /etc/nsswitch.conf, ainsi que dans les fichiers de /etc/pam.d/ tu dois toujours faire l’authentification locale avant l’authentification distante.

imagine le désastre sur ton parc serveurs si un gus arrive a créer un utilisateur root sur le ldap et que tu intéroge celui çi avant les fichiers locaux !!

#3

fait le contraire… penses bien par exemple que root doit toujours pouvoir se connecter à la machine. que le serveur ldap soit présent ou non.

dans /etc/nsswitch.conf, ainsi que dans les fichiers de /etc/pam.d/ tu dois toujours faire l’authentification locale avant l’authentification distante.

imagine le désastre sur ton parc serveurs si un gus arrive a créer un utilisateur root sur le ldap et que tu intéroge celui çi avant les fichiers locaux !![/quote]

Mais c’est justement ce que je fais car :

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

Sinon, je suis bien d’accord avec toi sur le fait qu’il faille que cette requête échoue…

Pour le moment, le souci se pose essentiellement sur nsswitch.conf. Comme lui faire comprendre qu’il n’aille pas du tout voir dans ldap pour les users qu’il a dans /etc/passwd ?