Re: [Ayuda] LDAP - Instancias

[Luis Daniel Lucio Quiroz <dlucio en okay com mx>]

Salvador Ortiz Garcia wrote:

> On Mon, 2002-10-14 at 09:17, Luis Daniel Lucio Quiroz wrote:
>  
>
> > Salvador Ortiz Garcia wrote:
> >
> >    
> >
> > > On Wed, 2002-10-09 at 10:41, Luis Daniel Lucio Quiroz wrote:
> > >
> > >
> > >      
> > >
> > > > En q parte de la configuración del LDAP le digo que me levante más 
> > > > instancias que por las de fault'????
> > > >        
>
>  
>
> > > A que te refires con "más instancias"?
> > >
> > > A que escuche en otros puertos? Con -h "<URLs>"
> > >      
>
>  
>
> >    Bueno, no exactamente eso, lo que pasa es que estaba observando que 
> > por default al arrancar LDAP sólo se me levantaban 4 instancias del 
> > domonio y pues necesitaba mas por que el servidor le da bateria a toda 
> > la organización, y pues  no quiero perder en eso.
> >    
>
> No te preocupes, esas "instancias" son los threads activos, solito
> levantaran más en caso necesario.
>
>  
>
> >  Bueno, 
> > independientemente de esto he tenido una serie de problemas que 
> > realmente no se ni por donde llegarle, esto tambien lo pasteare en la 
> > lista a ver si a alguien le sucedio.
> >
> >    Sucede que la autentificación por LDAP jala de maravilla todo esta 
> > de peluches, sin embargo pasan estos sintomas los cuales mis usuarios se 
> > quejaron amargamente y tuve q poner el servidor anterior hasta corregirlo.
> >
> >   1. La auntentificación sobre LDAP es imediata sí y solo se loguea en
> >      la consola,
> >   2. La autentificación sobre LDAP si es por otro cliente fuera de la
> >      consola se tarda horrores, algunas veces hasta marca error por la
> >      tardanza, sin embargo si autentifica.  Las computadoras estan en
> >      el mismo segmento de red, por lo tanto no hay firewall ni nada de
> >      eso entre ellas.  Cuando apago el LDAP todo jala super rapido.
> >    
>
> En un mensaje anterior me pareció leer que estabas usando PAM -> LDAP
> para tu autentificación, no?
>
> Yo uso un camino más sencillo, nss_ldap, de forma que con mencionar
> 'ldap' en tus /etc/nsswitch.conf la cosa funciona muy bien. Y puedes ser
> tan selectivo como quieras.
>
> En éste caso es _importantisimo_ que estes corriendo nscd(8). Y para
> bajarle la carga a tus slapd puedes ajustar los TTLs en /etc/nscd.conf 
>
> Respecto a tus archivos de configuración lo único que me llama la
> atención es que les des permiso a tus usuarios de cambiar su dirección
> de correo, pues normalmente esa es asignada y administrada por el, valga
> la redundancia, administrador.
> q
>  
>
> > En realidad creo q todo esta bien, ahora tengo otra observacion que me 
> > paso, cuando hago un top, slapd esta corriendo con prioridad 0, segun la 
> > configuración en /etc/sysconfig/ldap  tiene para moverle al ldap el 
> > nivel, sin embargo cuadno lo mueve no jala y tengo que hacerlo yo 
> > literalmente a manita con un "nice -d -15 slapd" y asi medio se comporta 
> > mejor, no se si me puedas ayudar en esto por favor.
> >
> >    
>
> Pues mira, no veo en el script de arranque de ldap (uso RH7.3) ningún
> elemento para ajustar el "nicelevel", y en mi caso lo dejo tal cual.
>
> Nunca hemos tenido problemas por el desempeño de slapd, nuestras
> máquinas típicas de producción son PII-450Mhz,512M, que hoy por hoy no
> son un "avión", y sirven fundamentalmente ldap, qmail y samba.
>
> Lo que si es que de nuestro servidor maestro de ldap, tenemos un montón
> de réplicas, atendiendo cada una a lo más entre 200-300 usuarios.
>
> Saludos.
>
> Salvador Ortiz.
>
>
> _______________________________________________
> Ayuda mailing list
> Ayuda en linux org mx
> Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/
>
>
>  
Hola, bueno antes que nada gracias,

Pues mira, eso del nsswitch ya lo tenia puesto, de ehco lo configuro 
ytodo croe q me faltaba lo del caché..  Pero ahroita no puedo instalarlo 
por que estoy en otra computadora y el problema esta en la oficina, sin 
embargo me entran muchas preguntas. (mi bd de RPM se acaba de corromper 
en esta computadora asi q no puedo instalar el nscd que era el unico 
paquete q me faltaba)

Mira tengo mi /etc/pam.d/system-auth asi:
#%PAM-1.0

auth        required      /lib/security/pam_nologin.so
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_ldap.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok 
try_first_pass
auth        required      /lib/security/pam_deny.so

account    sufficient     /lib/security/pam_ldap.so
account    sufficient     /lib/security/pam_unix.so
account    required       /lib/security/pam_deny.so

password   required       /lib/security/pam_cracklib.so retry=3 
minlen=2  dcredit=0  ucredit=0
password  sufficient      /lib/security/pam_ldap.so md5
password   sufficient     /lib/security/pam_unix.so nullok use_authtok 
md5 shadow use_first_pass
password   required       /lib/security/pam_deny.so

session     optional      /lib/security/pam_mkhomedir.so skel=/etc/skel/ 
umask=0022
session     required      /lib/security/pam_limits.so
session     sufficient      /lib/security/pam_ldap.so
session     sufficient      /lib/security/pam_unix.so
session   required       /lib/security/pam_deny.so


creo q es la configuración correcta aunque estoy evaluando si quito la 
linda de pam_nologin puesto q segun mis calculos no me dejaría loguearme 
2 veces.

-------------------------------

luego, mi /etc/nsswitch.conf tengo estas cosa sasi
passwd:     files ldap
shadow:     files ldap
group:      files ldap

-----------------------------------------------

y mi /etc/ldap.conf

host                                         <ip del servidor ldap>
base                                         o=myOrg
rootbinddn                             cn=usuario_admin,o=myOrg
scope                                         one                        
// esta la estoy pensando poner en sub por razones de organización
pam_filter                             objectclass=posixaccount
pam_login_attribute             uid
pam_member_attribute        gid
pam_template_login_attribute    uid
pam_password                    md5
nss_base_passwd                    ou=People,o=myOrg
nss_base_shadow                    ou=People,o=myOrg
nss_base_hosts                        ou=Hosts,o=myOrg

Creo q la configuración es la correcto, sin embargo tengo estas preguntitas.

   * nscd debe correr en todos los clientes que se autentifiquen frente
     al LDAP o sólo en el servidor que lo contiene.  Si tiene que ser
     en los clientes, que peudo hacer para mis usuarios que usan WinBug$,
   * Actualmente tenemos 1500 usuarios, en toda la organización de los
     cuales 700 son locales y la otra parte esta distribuidas en otras
     partes, el servidor de LDAP estoy considerándo que sea una PC,
     Pentium4 con 128 MB y un HD IDE de 40GB, creo q está sobrada la
     máquina si sólo se va a dedicar a contener LDAP. 
   * Ademas, si es posible pasar tambien el dominio de windows sobre
     samba, claro, autentificado bajo el mismo LDAP y si es posible el
     DNS, haciendo un DNS dinámico, (esta loquera todavia está en veremos),
   * El propósito total del proeycto es decirle AdioZ a XChange y crear
     firmas digitales, y por supuesto la llave pública estaría dentro
     del Ldap, por eso te preguntaba eso,

Bueno, em despido y mil gracias.

PD. Mando copia a la lista por si a alguien le sirve esta loquera que 
quiero hacer,


_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/