Cidolfas schreef op zaterdag 14 september 2013 @ 11:53:
Ik zou toch iets terughoudend zijn met het inzetten van nscd. Default doet het namelijk meer dan alleen dns caching, als je ldap gebruikt zitten ook je uids er in wat voor problemen kan zorgen.
Persoonlijk ben ik geen fan van nscd, het is in latere versies van RedHat ook vervangen door iets anders (sssd uit mijn hoofd..).
Weer voorzichtig in productie omgevingen met nscd en test wat bijvoorbeeld het uitvallen van ldap met je servers doet. Ik heb ervaringen dat lokale users (root) ook niet meer naar binnen mochten.
Ik heb er de ervaring mee dat men dan juist nog wél in kon loggen als een LDAP server niet bereikbaar was. Maar goed, ik heb dan ook wél de servers goed geconfigureerd.
Overigens is jouw ervaring dat lokale gebruikers niet meer konden inloggen niet veroorzaakt door nscd maar door Linux PAM. Bij een goed geconfigureerde server worden user accounts opgezocht via /etc/nsswitch.conf, waarin wordt geconfigureerd dat gebruikers eerst lokaal worden opgezocht, en als dat lukt dat er niet naar LDAP wordt gekeken.
Linux PAM zit iets anders in elkaar, en er zijn veel meer keuzes om te maken. Je kunt het zo configureren dat lokale users prima zijn en dat er dan verder niet meer gekeken wordt. Dat stel je op Red Hat achtige systemen in met authconfig of authconfig-tui, en kijk dan met name naar de --enablelocauthorize en --enablesysnetauth (enigszins gevaarlijk) opties. En realiseer je dat dat simpelweg wordt vertaald naar configuratieregels in /etc/pam.d/ en dat er nog veel meer mogelijk is.
Ik vind het prima dat je ergens voor waarschuwt, maar ik hoop dat je nu inziet dat het wellicht aan jouw gebrek aan kennis en ervaring lag. En wat dat betreft kan ik alleen maar adviseren om even iets te gaan lezen over /etc/nsswitch.conf en Linux PAM.
Ik ben wél een fan van nscd, nslcd en niet van sssd. Wel moet je als je caching deamons gebruikt realiseren dat je bij problemen even je cache moet opschonen om zeker te weten dat je niet met een verkeerde entry in je cache zit. Ik heb overigens enkele malen meegemaakt dat er een verkeerde host entry in nscd zat en dat alleen op was te lossen met een restart van nscd, maar dat was zeer zeldzaam en ik heb het destijds niet verder uitgezocht.
:strip_icc():strip_exif()/u/52612/pompoentje.jpg?f=community)
/u/232727/cid.png?f=community)
! 
.
/u/26742/000000751.png?f=community)
/u/125506/link-8bit.png?f=community)
:strip_exif()/u/18996/GoT_avatar.gif?f=community){kind=avatar}