一个奇怪的生产环境配置ldap服务引起的故障及解决过程分享

最新推荐文章于 2024-04-29 15:32:43 发布
最新推荐文章于 2024-04-29 15:32:43 发布
阅读量273 收藏
点赞数
文章标签: ldap 操作系统 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34255055/article/details/85023540
版权

ldap服务已应用几年了。当初自己部署时 都很顺利的(都是脚本统一处理的)。
服务器部署时都是统一模版直接推过去就好了。

如今,新增一批服务器要部署ldap 客户端统一认证,这次安排下属去搞,他部署完了确遇到一个小问题

现象:
加了host文件记录192.168.1.250 oldboy,在超级用户root下ping oldboy可以正常解析,
可是在非root用户ping oldboy就不能正常解析。

[root@oldboy ~]# cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
#127.0.0.1      oldboy pro192 localhost.localdomain localhost
::1             localhost6.localdomain6 localhost6
192.168.1.250 oldboy
192.168.1.250 localhost

#root用户下执行如下命令 是通的
[root@oldboy ~]# ping oldboy
PING oldboy (192.168.1.250) 56(84) bytes of data.
64 bytes from oldboy (192.168.1.250): icmp_seq=1 ttl=64 time=0.034 ms
64 bytes from oldboy (192.168.1.250): icmp_seq=2 ttl=64 time=0.047 ms

--- oldboy ping statistics ---
8 packets transmitted, 8 received, 0% packet loss, time 7014ms
rtt min/avg/max/mdev = 0.034/0.102/0.447/0.131 ms

#切到普通用户下就ping不通了。
[root@oldboy ~]# su - oldboybbs
[oldboybbs@oldboy ~]$ ping oldboy
ping: unknown host oldboy #===提示找不到oldboy
可偶们的90%的生产环境服务都是非ROOT用户跑的。

[oldboybbs@oldboy ~]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
#127.0.0.1      oldboy pro192 localhost.localdomain localhost
::1             localhost6.localdomain6 localhost6
192.168.1.250 oldboy
192.168.1.250 localhost

[oldboybbs@oldboy ~]$ logout
查看/etc/nsswitch.conf文件权限,在部署LDAP时会修改这个文件

[root@oldboy ~]# ll /etc/nsswitch.conf
-rw------- 1 root root 1712 Apr 28 18:11 //etc/nsswitch.conf #===600的权限导致的普通用户无法读取。
[root@oldboy ~]# chmod 644 /etc/nsswitch.conf
[root@oldboy ~]# su - oldboybbs
[oldboybbs@oldboy ~]$ ping oldboy #===>现在就可以了
PING oldboy (192.168.1.250) 56(84) bytes of data.
64 bytes from oldboy (192.168.1.250): icmp_seq=1 ttl=64 time=0.000 ms

--- oldboy ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2897ms
rtt min/avg/max/mdev = 0.000/0.000/0.000/0.000 ms


补充知识:
LDAP:LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,利用这个服务,
我们可以轻松实现linux下用户统一认证、登陆管理。
在大一点的公司运维人员、服务器数量数百台以上帐户批量管理(添加,删除),授权非常方便,类似微软公司的域管理一样。

有关LDAP的批量部署及页面极傻瓜式管理及授权 请参看我的相关文档
http://oldboy.blog.51cto.com/2561410/476897
[老男孩Linux私塾网站运维课程系列]-大型网站(>500台)生产服务器帐号LDAP服务统一认证(ldap+cfengine/puppet实现/lamp环境)

 

weixin_34255055
关注
【项目实战】IPC摄像头在线状态ping检测与告警邮件发送项目总结
dvlinker的技术专栏
07-27 3211
【项目实战】IPC摄像头在线状态ping检测与告警邮件发送项目总结
深信服SCSA安全工程师题库(方便大家复习备考)
热门推荐
a5a8a45的博客
04-11 1万+
1、【EDR】下列哪个端口是紧急情况下EDR管理平台和客户端通信端口,即紧急情况下用于下发Agent重启、Agent卸载和Agent停止等指令。( ) A:443.0 B:54120.0 C:8083.0 D:8088.0 正确答案B 2、【EDR】客户有7000个终端需要安装EDR客户端进行安全防护, 请问推荐部署多少个EDR管理平台( ) A:1个 B:2个 C:4个 D:6个 正确答案C 3、【EDR】EDR的Agent客户端不支持在以下哪种类型的终端上安装( ) A:Windows Server B
Cloudera Manager 配置 LDAP 集成 Kerberos
跟着大数据和AI去旅行
01-26 4711
本文主要记录 cdh hadoop 集群集成 ldap过程,这里 ldap 安装的是 OpenLDAPLDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.2
连接ldap服务器失败_openEA | 开源社区统一认证方案(上)——CAS与LDAP的搭建与集成...
weixin_39932330的博客
12-15 2339
openEA开源周刊openEA开源社区的官方运营载体这里每天给大家呈现有价值的开源资讯,欢迎您的来稿与推荐,点击上方蓝色字,加入我们吧!摘要:在信息技术和网络技术飞速发展的时代,企业内部的应用系统越来越多。除了给用户带来不少麻烦外,随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断...
【人在运维囧途_13】由LDAP服务器无法登陆来谈谈分析问题的思路
数据库
04-22 189
今天监控报障,LDAP某个机房部分机器无法登陆 过去看了一下,总结一下思考路径:㈠ 定位问题、确定问题范围 LDAP无法登陆,本地账户可以登陆,说明ssh认证本身ok,应该是LDAP服务器连接有问题 strace id xx,的确连接LDAP服务器报错 telnet LDAP服务器端口不通 同一机房里面部分正常服务器OK ㈡ 从变更角度来看问题 ...
kong+Verdaccio+ldap(docker)
Fear_w的博客
04-04 1703
需求 使用Kong来代理Verdaccio,实现直接通过域名+path的方式来访问,并且Verdaccio使用ldap来管理 前提 Kong+ldap已部署好,并且也部署好了Kong Dashboard 。(后面有需求再写关于Kong代理的各种设置) 搭建过程 思路:为了实现数据安全,保证高可用性,先正常启动一遍Verdaccio,把需要挂载的目录docker cp 到本地先,移除之前的容器,通过...
Hadoop之POC测试总结
weixin_34216196的博客
01-29 6968
POC测试总结一、 测试内容测试内容测试目的其他功能测试验证产品的自动部署安装、集成统一管理、运维监控功能是否完善、对SQL的支持能力(SQL-标准、事务支持能力、索引、存储过程、UDF),混合负载管理能力存储特性及多重分区能力组件测试验证产品的数据压缩存储特性、多种计算接口支持、对异构数据库支持、数据挖掘能力压缩对性能的影响性能测试测试产品的单查询性能和并发查询...
Docker 部署 npm 私仓 Verdaccio
qq_28511213的博客
03-30 614
随着公司的不断发展,公司内部项目前端架构不断的发展壮大, 为了优化前端架构、降低模块间耦合度、分离公共库, 构建npm私仓进行独立维护就显得格外重要。本文介绍如何在 Windows 系统下安装 Docker ,部署本地前端私仓 Verdaccio,旨在了解私仓 verdaccio 的搭建以及 Docker 的基本使用。本地私仓搭建完成后也可以当作研究前端工程化的工具,比如 npm 包发布、管理等。
LDAP认证插件 EAP-GTC win10-x64
05-12
Windows操作系统自带拨号终端不支持EAP-GTC认证协议,因此无法认证成功。只有一些移动终端和macOS支持EAP-GTC,Windows需要用户自己安装软件支持EAP-GTC。LDAP认证插件 EAP-GTC win10-x64
使用verdaccio 搭建npm私有仓库.docx
05-25
使用verdaccio 搭建npm私有仓库.docx
verdaccio-ldap:verdaccio的LDAP身份验证插件
02-03
Verdaccioldap verdaccio-ldap一个叉sinopia-ldap 。 它的目的是保持与sinopia向后兼容性,同时保持npm的变化。 安装 $ npm install verdaccio $ npm install verdaccio-ldap 在verdaccio-LDAP插件+ OpenLDAP服务器装在泊坞窗为V3的详细例子可和V4。 。 设定档 添加到您的config.yaml : auth : ldap : type : ldap # Only required if you are fetching groups that d
ubuntu搭建node私库Verdaccio
最新发布
常备不懈
04-29 1132
Verdaccio 是一个轻量级的私有 npm 代理注册服务器,它是开源的,可以帮助你设置和维护企业内部的 npm 包的存储库。使用 Verdaccio 可以让你完全控制包的发布流程、依赖关系以及访问策略。这篇文章将指导你如何在 Ubuntu 系统上安装和配置 Verdaccio。
LDAP实例异常停止日志提示虚拟内存virtual memory不足
weixin_34050005的博客
12-31 322
[05/Oct/2014:20:50:37 +0800] - ERROR<5135> - Resource Limit - conn=-1 op=-1 msgId=-1 - Memory allocation error calloc of 9420 bytes failed; errno 12The server has probably allocated all availabl...
关于SASL的介绍文档
DesignLife的专栏
11-15 1万+
http://docs.sun.com/app/docs/doc/819-7056/6n91eac4q?l=zh&a=view简单验证安全层 (Simple Authentication Security Layer, SASL) 介绍SASL 为应用程序和共享库的开发者提供了用于验证、数据完整性检查和加密的机制。开发者可通过 SASL 对通用 API 进行编码。此方法避免了对特定机制的依
npm 私服工具verdaccio 安装配置试用
weixin_34315665的博客
11-09 574
  1. 安装 npm install -g verdaccio 2. 启动 verdaccio // 界面显示信息 Verdaccio doesn't need superuser privileges. Don't run it und warn --- config file - /root/.config/verdaccio/config.yaml w...
npm私服工具verdaccio配置文件config.yaml详解(同sinopia配置文件)
十年磨一剑,沉淀……
04-26 1万+
配置文件原文: storage: ./storage auth: htpasswd: file: /.htpasswd uplinks: npmjs: url: http://registry.npmjs.org/ packages: '@*/*': access: $all publish: $authenticated '*': access: $all ...
centos7搭建verdaccio
爷来辣的博客
07-03 1575
安装npm 百度安装或者下个包 替换一下文件名 #解压安装node---------------------------------------------------------------------- cd /tmp mkdir -p /usr/local/node tar xvf node-v8.10.0-linux-x64.tar ...
LDAP服务配置与应用详解
X.500作为一个全面的目录服务标准,其特性包括分散维护、强大的搜索能力、单一全局命名空间、结构化信息结构和基于标准的服务。而LDAP作为其子集,保留了这些核心优点,但简化了实现,使其更容易在不同平台间进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值