[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Salvador Ortiz Garcia wrote:
On Mon, 2002-10-14 at 09:17, Luis Daniel Lucio Quiroz wrote:Salvador Ortiz Garcia wrote:On Wed, 2002-10-09 at 10:41, Luis Daniel Lucio Quiroz wrote:En q parte de la configuración del LDAP le digo que me levante más instancias que por las de fault'????A que te refires con "más instancias"? A que escuche en otros puertos? Con -h "<URLs>"Bueno, no exactamente eso, lo que pasa es que estaba observando que por default al arrancar LDAP sólo se me levantaban 4 instancias del domonio y pues necesitaba mas por que el servidor le da bateria a toda la organización, y pues no quiero perder en eso.No te preocupes, esas "instancias" son los threads activos, solito levantaran más en caso necesario.Bueno, independientemente de esto he tenido una serie de problemas que realmente no se ni por donde llegarle, esto tambien lo pasteare en la lista a ver si a alguien le sucedio.Sucede que la autentificación por LDAP jala de maravilla todo esta de peluches, sin embargo pasan estos sintomas los cuales mis usuarios se quejaron amargamente y tuve q poner el servidor anterior hasta corregirlo.1. La auntentificación sobre LDAP es imediata sí y solo se loguea en la consola, 2. La autentificación sobre LDAP si es por otro cliente fuera de la consola se tarda horrores, algunas veces hasta marca error por la tardanza, sin embargo si autentifica. Las computadoras estan en el mismo segmento de red, por lo tanto no hay firewall ni nada de eso entre ellas. Cuando apago el LDAP todo jala super rapido.En un mensaje anterior me pareció leer que estabas usando PAM -> LDAP para tu autentificación, no? Yo uso un camino más sencillo, nss_ldap, de forma que con mencionar 'ldap' en tus /etc/nsswitch.conf la cosa funciona muy bien. Y puedes ser tan selectivo como quieras. En éste caso es _importantisimo_ que estes corriendo nscd(8). Y parabajarle la carga a tus slapd puedes ajustar los TTLs en /etc/nscd.confRespecto a tus archivos de configuración lo único que me llama la atención es que les des permiso a tus usuarios de cambiar su dirección de correo, pues normalmente esa es asignada y administrada por el, valga la redundancia, administrador. qEn realidad creo q todo esta bien, ahora tengo otra observacion que me paso, cuando hago un top, slapd esta corriendo con prioridad 0, segun la configuración en /etc/sysconfig/ldap tiene para moverle al ldap el nivel, sin embargo cuadno lo mueve no jala y tengo que hacerlo yo literalmente a manita con un "nice -d -15 slapd" y asi medio se comporta mejor, no se si me puedas ayudar en esto por favor.Pues mira, no veo en el script de arranque de ldap (uso RH7.3) ningún elemento para ajustar el "nicelevel", y en mi caso lo dejo tal cual. Nunca hemos tenido problemas por el desempeño de slapd, nuestras máquinas típicas de producción son PII-450Mhz,512M, que hoy por hoy no son un "avión", y sirven fundamentalmente ldap, qmail y samba. Lo que si es que de nuestro servidor maestro de ldap, tenemos un montón de réplicas, atendiendo cada una a lo más entre 200-300 usuarios. Saludos. Salvador Ortiz. _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/
Hola, bueno antes que nada gracias,Pues mira, eso del nsswitch ya lo tenia puesto, de ehco lo configuro ytodo croe q me faltaba lo del caché.. Pero ahroita no puedo instalarlo por que estoy en otra computadora y el problema esta en la oficina, sin embargo me entran muchas preguntas. (mi bd de RPM se acaba de corromper en esta computadora asi q no puedo instalar el nscd que era el unico paquete q me faltaba)
Mira tengo mi /etc/pam.d/system-auth asi: #%PAM-1.0 auth required /lib/security/pam_nologin.so auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_ldap.soauth sufficient /lib/security/pam_unix.so likeauth nullok try_first_pass
auth required /lib/security/pam_deny.so account sufficient /lib/security/pam_ldap.so account sufficient /lib/security/pam_unix.so account required /lib/security/pam_deny.sopassword required /lib/security/pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0
password sufficient /lib/security/pam_ldap.so md5password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow use_first_pass
password required /lib/security/pam_deny.sosession optional /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
session required /lib/security/pam_limits.so session sufficient /lib/security/pam_ldap.so session sufficient /lib/security/pam_unix.so session required /lib/security/pam_deny.socreo q es la configuración correcta aunque estoy evaluando si quito la linda de pam_nologin puesto q segun mis calculos no me dejaría loguearme 2 veces.
------------------------------- luego, mi /etc/nsswitch.conf tengo estas cosa sasi passwd: files ldap shadow: files ldap group: files ldap ----------------------------------------------- y mi /etc/ldap.conf host <ip del servidor ldap> base o=myOrg rootbinddn cn=usuario_admin,o=myOrgscope one // esta la estoy pensando poner en sub por razones de organización
pam_filter objectclass=posixaccount pam_login_attribute uid pam_member_attribute gid pam_template_login_attribute uid pam_password md5 nss_base_passwd ou=People,o=myOrg nss_base_shadow ou=People,o=myOrg nss_base_hosts ou=Hosts,o=myOrg Creo q la configuración es la correcto, sin embargo tengo estas preguntitas. * nscd debe correr en todos los clientes que se autentifiquen frente al LDAP o sólo en el servidor que lo contiene. Si tiene que ser en los clientes, que peudo hacer para mis usuarios que usan WinBug$, * Actualmente tenemos 1500 usuarios, en toda la organización de los cuales 700 son locales y la otra parte esta distribuidas en otras partes, el servidor de LDAP estoy considerándo que sea una PC, Pentium4 con 128 MB y un HD IDE de 40GB, creo q está sobrada lamáquina si sólo se va a dedicar a contener LDAP. * Ademas, si es posible pasar tambien el dominio de windows sobre
samba, claro, autentificado bajo el mismo LDAP y si es posible el DNS, haciendo un DNS dinámico, (esta loquera todavia está en veremos), * El propósito total del proeycto es decirle AdioZ a XChange y crear firmas digitales, y por supuesto la llave pública estaría dentro del Ldap, por eso te preguntaba eso, Bueno, em despido y mil gracias.PD. Mando copia a la lista por si a alguien le sirve esta loquera que quiero hacer,
_______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/