如何在Debian 10客户端上重新配置ldap服务器连接？

Question

我有一个Debian 10系统，它被配置成与OpenLDAP服务器(10.5.5.35)对话，获取密码、组和影子。我需要将主机切换到Duo代理(10.5.5.50)。我以为我只需更改/etc/ldap.conf和/etc/ldap/ldap.conf中的IP地址(uri)，但是身份验证仍然会转到.35地址(登录时我可以通过tcpdump看到这个流量)。

我的/etc/ldap/ldap.conf -> /etc/ldap.conf (它们是一个符号链接)就在下面。有趣的是，将uri更改为完全错误(1.1.1.1)不会影响身份验证。只有像ldapsearch这样的CLI实用程序失败：

uri                    ldap://10.5.5.35
base                   dc=corp,dc=net
nss_base_group         ou=groups,dc=corp,dc=net
ldap_version           3
pam_password           md5
ssl                    start_tls
tls_reqcert            allow
TLS_CACERTDIR          /etc/ssl/certs
ldap_version           3
pam_password           crypt
pam_login_attribute    uid
tls_reqcert            never
bind_timelimit         60
pam_groupdn            cn=ldapuser,ou=groups,dc=corp,dc=net
#
nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,colord,cyrus,daemon,debian-spamd,dnsmasq,dovecot,dovenull,freerad,games,gdm,gnats,haldaemon,hplip,irc,kernoops,landscape,libuuid,list,lp,mail,man,memcache,messagebus,mysql,nagios,news,ntp,nx,openldap,polkituser,postfix,proxy,root,saned,sshd,statd,stunnel4,sympa,sync,sys,syslog,uml-net,unscd,usbmux,uucp,whoopsie,www-data,xrdp                                                                                                           

timelimit              60
idle_timelimit         60

/etc/nsswitch.conf

mfcb# cat /etc/nsswitch.conf 
passwd: files ldap
group:  files ldap
shadow: files ldap

hosts:     files dns
networks:  files

protocols: db files
services:  db files
ethers:    db files
rpc:       db files

netgroup: nis
sudoers:  files

客户端上安装的ldap包是：

# dpkg -l | grep ldap | awk '{print $1" "$2}'
ii ldap-utils
ii libldap-2.4-2:amd64
ii libldap-common
ii libnet-ldap-perl
ii libnss-ldapd:amd64
ii libpam-ldapd:amd64
ii sudo-ldap

我不知道为什么要安装-ldapd包而不是-ldap。我今天发现的许多文档都显示了正在使用的-ldap包。我在我们的票务系统中查了一下，2018年，当身份验证在Ubuntu升级后突然停止工作时，我们显然已经在-ldapd上标准化了。我要指出的是，我们的大部分潜艇都是Ubuntu。Debian只占我们的60台主机中的5台--有些主机对它不太熟悉。但是，我们确实配置了LDAP auth /对所有它们都进行了处理。

我试着安装-ldap包，但由于某种原因，它删除了我的/etc/ldap.conf和/etc/ldap/ldap.conf文件，这几乎破坏了一切。

Debian 10使用什么config/file/daemon to -restart来确定要与哪个LDAP服务器进行身份验证？

Answer 1

为了防止它对其他人有帮助，我还必须将/etc/nslcd.conf更改为新服务器，并重新启动nslcd守护进程。