Offline авторизация OpenLDAP

[Verter]

Коллеги, всю голову сломал над этой темой.. Пробовал nscd - не работает, везде пишут, что он бажный. Вроде работает, но как только выключаешь LDAP пользователя в кэше находит, а пароль - нет.
Нашел unscd - такая же ерунда.
Пробовал libpam-ccreds - похоже очень старое решение, не работает на Ubuntu 14.04.2. Во всяком случае у меня вообще логиниться перестала система, пришлось с Live CD все обратно возвращать.

В конце концов нашел https://github.com/google/nsscache/wiki/Installation и вроде даже свежий апдейт выложен. Скачал его, поставил по инструкции, но не запускается

root@desktop1:/opt/nss/libnss/libnss-cache# nsscache update
Traceback (most recent call last):
  File "/usr/local/bin/nsscache", line 28, in <module>
    from nss_cache import app
  File "/usr/local/lib/python2.7/dist-packages/nss_cache/app.py", line 34, in <module>
    from nss_cache import command
  File "/usr/local/lib/python2.7/dist-packages/nss_cache/command.py", line 36, in <module>
    from nss_cache.sources import source_factory
  File "/usr/local/lib/python2.7/dist-packages/nss_cache/sources/source_factory.py", line 52, in <module>
    from nss_cache.sources import httpsource
  File "/usr/local/lib/python2.7/dist-packages/nss_cache/sources/httpsource.py", line 26, in <module>
    import pycurl
ImportError: No module named pycurl


У кого на чем настроена offline авторизация LDAP?

[AnrDaemon]

Вы ошибку вообще читали?

apt-get install python-pycurl

[Verter]

Вы ошибку вообще читали?

apt-get install python-pycurl

Я честно говоря думал, что это имеется ввиду внутренний модуль самого nsscache. Поставил его. После этого ругнулся еще на ldap, поставил python-ldap. А вот теперь не пойму на что ругается..
Traceback (most recent call last):
File “/usr/local/bin/nsscache”, line 33, in <module>
return_value = nsscache_app.Run(sys.argv, os.environ)
File “/usr/local/lib/python2.7/dist-packages/nss_cache/app.py”, line 240, in Run
retval = command_callable().Run(conf=conf, args=args)
File “/usr/local/lib/python2.7/dist-packages/nss_cache/command.py”, line 230, in Run
force_lock=options.force_lock)
File “/usr/local/lib/python2.7/dist-packages/nss_cache/command.py”, line 280, in UpdateMaps
tempdir = tempfile.mkdtemp(dir=cache_options,
KeyError: ‘dir’

[v!tax]

это конец ошибки?это целиком?
nsscache ?

[AnrDaemon]

А давайте зайдём с другого конца.
Какую проблему вы пытаетесь тут решить?
Нафига вам оффлайн LDAP?

[Verter]

это конец ошибки?это целиком?
nsscache ?

Да, конец и целиком. Вечером буду на чистую систему пробовать на vbox

[Verter]

А давайте зайдём с другого конца.
Какую проблему вы пытаетесь тут решить?
Нафига вам оффлайн LDAP?

Есть ноутбуки, объединенные в сеть. Единая авторизация, централизованное управление правами и доступами в сеть через OpenLDAP. Нужно чтобы можно было без сети зайти на комп и работать со своими документами. Для этого нужно копирование информации с ldap.

[AnrDaemon]

Именно LDAP, без AD?

[Verter]

Да. AD не требуется, т.к. вся инфраструктура на Ubuntu

[AnrDaemon]

У меня тоже вся инфраструктура на Ubuntu.
Вот только в AD пока перевести не удаётся.

[Verter]

Я правильно понимаю, что AD = Microsoft Active Directory?   Зачем она нужна в случае, если все на Ubuntu?

[AnrDaemon]

Затем, что Самба предлагает инструменты для контроля и управления всеми аспектами.
А от ldbedit я вообще в безумном восторге.

[Verter]

Понятно, что не понятно  Ок, поищу в интернете сравнение с самбой. Я честно говоря поднимал PDC на самбе с клиентами на ХР. Но чтобы клиенты были на Linux не слышал.
Пользователь решил продолжить мысль [time]01 Апрель 2015, 21:44:09[/time]:

это конец ошибки?это целиком?
nsscache ?

Да, конец и целиком. Вечером буду на чистую систему пробовать на vbox

В общем поставил на чистую виртуалку - тоже не работает. И тут я нашел у него ключ -d, который в режиме debug запускает. Оказалось, что проблема возникает при вызове /usr/bin/makedb. Такого файла не оказалось, он оказался в пакете libnss-db. Поставил пакет - все запустилось без ошибок! Ураа! На другой машине тоже поставил - работает!

А в описании пакета сказано
libnss-cache
NSS module for using nsscache-generated files
или libnss-db
NSS module for using Berkeley Databases as a naming service

Спасибо большое за помощь!
P.S. При выключенном LDAP пользователя даже в КЭШе находит! Пароль правда не принимает еще, но думаю победим эту тему!

[Verter]

В общем пока не получилось запустить оффлайн авторизацию  Нужна помощь, помогите пожалуйста - где еще посмотреть?

Из-под root все работает

Проверяем, когда записи нет в кэше

Код: [Выделить]

root@desktop1:/home/verterd# su jany
Отсутствует passwd-запись для пользователя «jany»
Поднимаем LDAP, проверяем

Код: [Выделить]

root@desktop1:/home/verterd# su jany
jany@desktop1:/home/verterd$
Опускаем LDAP, проверяем

Код: [Выделить]

root@desktop1:/home/verterd# su jany
su: Сбой при проверке подлинности
(Игнорировано)
jany@desktop1:/home/verterd$
То есть переключение происходит.

Пробую из-под обычного пользователя с привилегией sudo

Код: [Выделить]

verterd@desktop1:~$ id jany
uid=10000(jany) gid=5000(adult) группы=5000(adult)То есть пользователя из кэша система получает

Пробуем переключиться

Код: [Выделить]

verterd@desktop1:~$ su jany
Пароль:
su: Сбой при проверке подлинности

В /var/log/auth.log при этом

(Нажмите, чтобы показать/скрыть)

Apr  2 20:27:45 desktop1 su[13054]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Apr  2 20:27:45 desktop1 su[13054]: pam_ldap: reconnecting to LDAP server...
Apr  2 20:27:48 desktop1 su[13054]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Apr  2 20:27:50 desktop1 su[13054]: pam_authenticate: Authentication failure
Apr  2 20:27:50 desktop1 su[13054]: FAILED su for jany by verterd
Apr  2 20:27:50 desktop1 su[13054]: - /dev/pts/27 verterd:jany

В /var/log/nscd.log

(Нажмите, чтобы показать/скрыть)

Чт. 02 апр. 2015 20:27:40 - 10651: handle_request: получен запрос (версия = 2) от PID 13054
Чт. 02 апр. 2015 20:27:40 - 10651:    GETFDPW
Чт. 02 апр. 2015 20:27:40 - 10651: предоставить доступ FD 6, для passwd
Чт. 02 апр. 2015 20:27:42 - 10651: handle_request: получен запрос (версия = 2) от PID 13054
Чт. 02 апр. 2015 20:27:42 - 10651:    GETFDHST
Чт. 02 апр. 2015 20:27:42 - 10651: предоставить доступ FD 10, для hosts

Ставил вот по этой немецкой технологии 2012 года выпуска

Конфиги приложил

[Verter]

Похоже, что nscd устарел и надо использовать
http://manpages.ubuntu.com/manpages/trusty/man5/sssd.conf.5.html
По крайней мере по нему статьи более свежие. И еще про nscd я встречал, что он не кэширует паролив каких-то версиях...
Похоже на правду, поскольку su под root проходит, а из-под пользователя - нет.
У кого есть работающая конфигурация на 14.04, подскажите куда копать?