[gull] Question autour de LDAP et PAM

Marc SCHAEFER schaefer at alphanet.ch
Thu Jun 16 14:38:03 CEST 2005


On Thu, Jun 16, 2005 at 01:44:42PM +0200, Michela Spada wrote:
> Comme tous les processus sont lancés pas "ssh", nous avons des quantités 
> de requêtes sur le serveur que nous devons empêcher.

Etonnant qu'il y ait tellement de requêtes que ça! LDAP est considéré
comme un protocole léger. Quel est le backend utilisé pour les données ?
Si c'est DBM il me semble que la performance devrait être bonne.

Peut-être un problème de tcp_wrappers ou de résolution DNS inverse qui
crée des timeouts ?

Avez-vous procédé à une analyse rapide de la charge du serveur (vmstat
5, top, free, sar/vsar) ?

> - renoncer complètement à LDAP et revenir aux fichiers plats dans /etc 
> (NIS ne propage pas les mots de passe sur SuSE 9.2 à ce que j'ai constaté)

option b:
   - conserver LDAP, mais générer périodiquement /etc/passwd et
     /etc/shadow depuis un template statique (avec le mot de passe root)
     et le contenu de la base LDAP. Si LDAP pas accessible, la version
     du fichier d'avant est gardée et une alarme est générée.

   - envoyer ce fichier sur les différentes machines clientes par
     rsync (rsync périodique et au démarrage de chaque station,
     en cas de panne utilisation de la version précédente),
     via les clés SSH du serveur.

   - laisser la configuration PAM  `password' via LDAP pour changer
     le mot de passe `sur le réseau'.

ce qui précède donnera la meilleure performance tout en conservant
la meilleure intégration LDAP.




More information about the gull mailing list