On Tue, May 28, 2013 at 10:51:54AM +0400, Владимир Скубриев wrote: > в работе nscd > я так понимаю, что он нужен, для того, чтобы кэшировать например > passwd, group из nss
Если записи попали в nscd до потери ldap-сервера, то они будут у него в кеше, до истечения TTL. Сам он ничего проактивно загружать не будет. > т.е. в случае если не доступен ldap server система должна видеть > пользователей и группы ldap. Если до поломки сервера этих пользователей запрашивали (via id(1), например) и nscd успел их закешировать. > в связи с этим вопрос чем кэшировать данные passwd, group в случае > не доступности ldap server Был какой-то libpam-ccreds, он это делал. Но раз ssds наше будущее, то наверно надо искать там. [...] > но стоит мне отключить сервер - не возможно войти в систему ldap > пользователем. Авторизацией занимается PAM, ему надо делать bind в LDAP-сервер при обычной конфигурации, nscd тут точно не помошник. При особом желании можно сделать авторизацию без pam-ldap, чисто через NSS. То есть, чтобы pam_unix сам проверял пароль с хешем. Но это потребует давать всем доступ на чтение хешей паролей, что, очевидно, лучше избегать для лучшей секурности. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130529174005.gb29...@pompeii.v.shared.ru
