当离开网络时，LDAP用户身份验证和NFS主目录共享会发生什么情况？

Question

目前，我在家庭网络上有几台机器，它们是静态台式机和笔记本电脑的混合体。对我来说，这变得很难管理，而且所有这些人都有本地主目录、设置和安全性，所以我正在考虑使用LDAP来管理普通用户，使用NFS来管理共享主目录。

当其中一台笔记本电脑在路上时会发生什么？家庭网络是无法到达的，所以我们会失败并退回到本地存储吗？另外，当笔记本电脑返回时，是否有一种将家庭存储重新同步到NFS服务器的方法？

Answer 1

NFS和LDAP都不支持断开连接的操作:也就是说，当膝上型计算机无法到达服务器时，它将无法访问任何NFS安装的目录，也无法执行用户查找。基本上，它会被卡住。

几个解决办法可以是以下几点。

您可以使用和声将本地目录与中央服务器上的目录同步，而不是通过NFS来读取主目录。您可以从cron运行unison，在无法到达服务器时，由中止操作的测试来保护。这篇文章发表在AskUbuntu上和另一个提供了关于同步主题的讨论和一些有用的建议。

关于用户身份验证/授权问题，解决方案围绕着使用libnss-db作为用户信息的来源：

• 安装libnss-db，然后配置/etc/nsswitch.conf查找常规的files：passwd：db db组:文件db阴影:文件db，db源文件位于/var/lib/misc (/var/lib/misc/passwd.db等)中。然后，您可以在中央服务器上保存这些文件的主副本，并将客户端与rsync+cron同步。缺点:没有现成的管理脚本来管理服务器上的db文件(据我所知)，而且您会导致同步延迟，并且必须设置rsync连接到主服务器的方式。
• nss-updatedb和libpam-ccreds包提供了一种更干净的设置方法:使用nss-updatedb，您可以在本地重新创建passwd.db和group.db，而shadow信息则由libpam-ccreds管理。有关如何设置这些信息的说明可以在包的README文件中找到。

Answer 2

文件

至于文件，我会为普通文件(比如乌本图一号或Dropbox)选择一个基于网络的同步，然后为更大的文件(可能是音乐、照片、视频和Ubuntu )提供一个共享文件夹。这可能是NFS挂载，当它失败时并不重要，或者是Samba共享，或者可能是许多其他技术中的一种。

LDAP

LDAP失败肯定会带来麻烦。您通常不知道的各种系统帐户都无法翻译(名称<-> id号)，而且系统最多一次重复挂起一分钟，同时等待LDAP服务器的响应，然后返回到本地系统。或者系统可能会被锁定并完全失效。

有一些绕过这一切的方法。您可以设置本地副本并以各种方式对其进行同步--请参阅此问题和链接问题的其他答案。您还可以告诉LDAP不要从LDAP目录中获取系统用户，而是从本地文件中获取系统用户。在我们的服务器上，我们在ldap.conf的末尾放置了以下内容

# We need to ensure that various things can work without LDAP being available
# for example: booting, ssh in as root, apache ...
nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,daemon,dhcp,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,klog,libuuid,list,lp,mail,man,messagebus,munin,mysql,nbd,news,ntp,nut,polkituser,proxy,pulse,root,sshd,statd,sync,sys,syslog,uucp,www-data

您可能希望确保所有系统用户都在该列表中。即使如此，对于笔记本电脑的使用来说，这可能还是不够的。

来自nss_ldap手册页

nss_initgroups_ignoreusers <user1,user2,...,userN>
          This option directs the nss_ldap implementation of initgroups(3)
          to return NSS_STATUS_NOTFOUND if called with a listed  users  as
          its argument.

因此，基本上LDAP假装它不认识那些用户，甚至不联系主服务器，所以NSS返回到本地用户，系统运行良好。

最后一个想法是，如果您愿意花时间学习LDAP，那么您可以学习一些基本的木偶，并使用它在所有系统中保持所有用户的相同-例如，参见这个木偶菜谱。木偶将允许你做很多其他事情，以及安装通用的软件包，共同设置的各个方面.