NIS belépés nem megy ha fut az nscd service

Linux-haladó

Sziasztok!

OpenSUSE 13.1 friss telepítésű gépet mint NIS klienst szeretnék beintegrálni egy meglévő NIS szerverbe. A NIS szerver Solaris 10-en fut.
Más SLES10 SP2-es szerverek már integrálva vannak régóta, azokon működik rendesen a NIS.

Az a probléma, hogy a jelszót nem fogadja el, ha egy NIS user belép.
Hibaüzenet a /var/log/messages-ban:

2014-05-19T17:45:34.287130+02:00 seag sshd[42440]: error: PAM: Authentication service cannot retrieve authentication info for egyobat from
2014-05-19T17:45:35.083873+02:00 seag sshd[42440]: error: Received disconnect from : 13: Unable to authenticate [preauth]

Yast-tal beállítottam először az NFS kliens-t, mert a user home-okat előtte fel kell mountolni. Ezzel nincs gond.
NFS kliens esetén a Yast az alábbi fájlokat módosítja:
/etc/sysconfig/nfs
/etc/idmapd.conf
/etc/fstab

Utána Yast-tal beállítottam a NIS-t. A Yast az alábbi fájlokat módosítja:
/etc/sysconfig/network/config
/etc/nsswitch.conf
/etc/group
/etc/shadow
/etc/passwd
/etc/sysconfig/ypbind
/etc/yp.conf

Innentől működnie kellene, de nem akar. Működne, de a NIS user jelszót nem fogadja el.
Akkor működik a belépés, ha az nscd service-t leállítom!

systemctl status nscd.service
systemctl stop nscd.service

De amint elindítom az nscd-t, nem fogadja el a jelszót. Variáltam többféleképpen a /etc/nsswitch.conf tartalmát és az /etc/shadow utolsó sorát, de csak akkor megy ha az nscd le van állítva.

Az /etc/nsswitch.conf tartalma:

passwd: compat
group: compat

hosts: files mdns_minimal [NOTFOUND=return] dns
networks: files dns

services: files nis
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files

bootparams: files
automount: files
aliases: files nis
shadow: compat

Az /etc/shadow-ba a Yast alapból csak egy "+" jelet tesz az utolsó sorba. Én próbáltam "+::::::::"-tal is, de a szitu ugyanaz.

A "getent passwd" és "ypcat passwd" lefut rendesen, kiírja az összes NIS usert. Érdekes módon a "getent passwd" a jelszót hash-eket is beleveszi a printoutba, míg a "ypcat passwd" a jelszó hash-eket nem írja ki, de ez így van a két régi SLES10 gépen is.

Van ötletetek?
Kösz!

  • 3691 megtekintés

Nem AD-vel szinkornizalsz veletlenul?
Nalam ezt akkor dobta, amikor kerberos ADbol ki akarta szedni, hogy helyes-e a jelszo, am valamiert Solaris, ha nem talata a usert az elso domain alatt, mar szart tovabb nezni, a kovetkezoben.
* De kis buta vagyok, nem is olvastam vegig.... de most elgondolkodom a dolgon :)

De tényleg van benne check-files passwd yes!

Ez a tartalma, eddig nem is néztem! Azt gondoltam hogy az nsswitch.conf konfigurálja az nscd-t.

seag:/etc/pam.d # less /etc/nscd.conf
# logfile /var/log/nscd.log
# threads 4
# max-threads 32
server-user nscd
# stat-user somebody
debug-level 0
# reload-count 5
paranoia no
# restart-interval 3600

enable-cache passwd yes
positive-time-to-live passwd 600
negative-time-to-live passwd 20
suggested-size passwd 211
check-files passwd yes
persistent passwd yes
shared passwd yes
max-db-size passwd 33554432
auto-propagate passwd yes

enable-cache group yes
positive-time-to-live group 3600
negative-time-to-live group 60
suggested-size group 211
check-files group yes
persistent group yes
shared group yes
max-db-size group 33554432
auto-propagate group yes

enable-cache hosts yes
positive-time-to-live hosts 600
negative-time-to-live hosts 0
suggested-size hosts 211
check-files hosts yes
persistent hosts no
shared hosts yes
max-db-size hosts 33554432

enable-cache services yes
positive-time-to-live services 28800
negative-time-to-live services 20
suggested-size services 211
check-files services yes
persistent services yes
shared services yes
max-db-size services 33554432

enable-cache netgroup yes
positive-time-to-live netgroup 28800
negative-time-to-live netgroup 20
suggested-size netgroup 211
check-files netgroup yes
persistent netgroup yes
shared netgroup yes
max-db-size netgroup 33554432
/etc/nscd.conf lines 33-88/88 (END)

Melyik érintheti? A régi SLES10-es szerveren is be van kapcsolva a " check-files passwd yes", bár lehet hogy az OpenSUSE másképp éli meg.

Hát gáz, nem gáz, egyelőre ez van. Mármint a NIS :) Tudom hogy nem a legbiztonságosabb rendszer, de cégen belül laborba jó.

A NIS helyett mi lenne az ajánlott amúgy, ami nem túl bloated? Összesen 3 db Linux gép + 3 virtuális Solaris gép használ egy közös user authentikációt.