<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">15 сентября 2016 г., 19:17 пользователь Gleb Kulikov <span dir="ltr"><<a href="mailto:glebus@asd.iao.ru" target="_blank">glebus@asd.iao.ru</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">В письме от 2016 September 15 (14:58:05) тов. Игорь Андросов написал:<br>
<br>
> Господа доброго времени!<br>
Добрый вечер, товарищ! :)<br></blockquote><div>Не буду отвечать классической фразой :) </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
> однако виртуалка с устаревшим Cизифом спокойно впускает пользователя ldap.</span></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">В текущем Сизифе есть две хитрых фишки, которых я не понимаю:<br></span></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
1) в файле /etc/nscd.,conf, перед цифрами временем (строки типа positive-time-<br>
to-live passwd 31536000) вместо пробела стоит некоторый юникодный<br>
пробельный символ. Если его убрать, некоторые чудеса исчезают.<br>
Я не понимаю, как это может влиять (используется же nslcd!), а вот уж :)<br></blockquote><div> </div><div>Эм... я конечно могу где-то ошибаться, но у меня кроме того что не используется nscd (нет необходимости в кэшировании данных и данный демон не запускается), в этом файле везде стоит простой TAB он же 0x09.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
2) ДАЖЕ если /etc/pam.d/system-auth-> system-auth-ldap, если при этом нет<br>
принципала kerberos, пользователь ldap может зайти только с консоли. Ни вход<br>
по ssh, ни вход через kdm НЕ РАБОТАЮТ. Стоит создать соотв. принципала, и<br>
вуаля... нет проблем.<br></blockquote><div><br></div><div>Хм... вот вообще кербероса не было в роду, и все работало )</div><div>Похоже сломано что-то в nss_ldap ибо почему ldap аутентификация с версией nss_ldap-265-alt4 или даже установленной на ту же машину где и alt5 - nss_ldap-265-alt2.M60P.1 проходит, а с nss_ldap-265-alt5 не проходит?</div><div>-- <br></div></div><div class="gmail_signature">С уважением Игорь.<br><br></div>
</div></div>