/etc/nsswitch.conf文件不能正常工作

Question

对于我的用户被认证的方式，我有一个小问题。

我的debian 7使用/etc/libnss-ldap.conf连接到LDAP服务器。

我有一些本地用户和一些ldap用户。

在nsswitch.conf文件上，我希望用户首先在“文件”中搜索，如果没有在“文件”中找到，则只在"ldap“中搜索。

问题是，对于进行监视(nagios)的本地用户，我的检查有一些超时。当我尝试"su nagios“时，这需要花费太多的时间！

当我尝试"strace su nagios“时，我可以看到对LDAP服务器的请求很多，为什么呢？

以下是nsswitch的内容：

passwd:         files [SUCCESS=return] ldap
group:          files [SUCCESS=return] ldap
shadow:         files [SUCCESS=return] ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

网络组: nis

我怀疑/etc/amam.d中的文件中有什么东西。以下是一些文件的内容：

共同账户：

account [success=2 new_authtok_reqd=done default=ignore]    pam_unix.so broken_shadow
account [success=1 default=ignore]  pam_ldap.so 
account requisite           pam_deny.so
account required            pam_permit.so

共同-奥斯：

auth    [success=2 default=ignore]  pam_unix.so nullok_secure
auth    [success=1 default=ignore]  pam_ldap.so use_first_pass
auth    requisite           pam_deny.so
auth    required            pam_permit.so
auth    optional    pam_mount.so 
auth    optional            pam_smbpass.so migrate

共同密码：

password    [success=2 default=ignore]  pam_unix.so obscure sha512
password    [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
password    requisite           pam_deny.so
password    required            pam_permit.so
password    optional            pam_smbpass.so nullok use_authtok use_first_pass

提前了很多时间

Answer 1

值得使用strace并检查输出，以确定在进行LDAP查找时su正在咨询哪个数据库(passwd、group和其他数据库)。

听起来像是在搜索LDAP目录，以找到目标帐户所属的所有组。解决方案是在nss_base_group中设置/etc/libnss-ldap.conf，以减少搜索空间。