16,04 серверов: включение аутентификации LDAP заставляет systemd-logind перестать работать
Я озадачен здесь, извините если я пропускаю что-то очевидное. У меня было 16,04 серверов, проходящих проверку подлинности против LDAP, который прекратил работать в прошлый раз, когда я выполнил обновления, и я создал чистые 16,04 серверов с нуля, выполнил стандартные обновления, и он хорошо работает, пока я не включаю аутентификацию LDAP. Я могу отключить LDAP, и затем он работает снова.
me@myserver:/etc# systemctl status systemd-logind.service
● systemd-logind.service - Login Service
Loaded: loaded (/lib/systemd/system/systemd-logind.service; static; vendor preset: enabled)
Active: activating (start) since Tue 2016-07-12 15:13:07 EDT; 19s ago
Docs: man:systemd-logind.service(8)
man:logind.conf(5)
http://www.freedesktop.org/wiki/Software/systemd/logind
http://www.freedesktop.org/wiki/Software/systemd/multiseat
Main PID: 2106 (systemd-logind)
Tasks: 1
Memory: 228.0K
CPU: 2ms
CGroup: /system.slice/systemd-logind.service
└─2106 /lib/systemd/systemd-logind
Jul 12 15:13:07 myserver systemd[1]: Starting Login Service...
Это будет крутиться некоторое время, сбой, затем попытаться запуститься снова в бесконечных циклах. Я могу войти в локальный аккаунт, но требуется много времени.
me@myserver:/etc# systemd-analyze blame
Bootup is not yet finished. Please try again later.
Между тем journalctl - ксенон возвращает свое собственное больше подробного цикла:
me@myserver:/etc# journalctl -xe
-- Subject: Unit systemd-logind.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Unit systemd-logind.service has failed.
--
-- The result is failed.
Jul 12 15:16:27 myserver systemd[1]: systemd-logind.service: Unit entered failed state.
Jul 12 15:16:27 myserver systemd[1]: systemd-logind.service: Failed with result 'exit-code'.
Jul 12 15:16:27 myserver systemd[1]: systemd-logind.service: Service has no hold-off time, scheduling restart.
Jul 12 15:16:27 myserver systemd[1]: Stopped Login Service.
-- Subject: Unit systemd-logind.service has finished shutting down
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Unit systemd-logind.service has finished shutting down.
Jul 12 15:16:27 myserver systemd[1]: Starting Login Service...
-- Subject: Unit systemd-logind.service has begun start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Unit systemd-logind.service has begun starting up.
Jul 12 15:16:52 myserver systemd-logind[2134]: Failed to enable subscription: Connection timed out
Jul 12 15:16:52 myserver systemd-logind[2134]: Failed to fully start up daemon: Connection timed out
Jul 12 15:16:52 myserver dbus[1012]: [system] Failed to activate service 'org.freedesktop.systemd1': timed out
Jul 12 15:16:52 myserver systemd[1]: systemd-logind.service: Main process exited, code=exited, status=1/FAILURE
Jul 12 15:16:52 myserver systemd[1]: Failed to start Login Service.
У меня есть приблизительно две дюжины 14,04 серверов, хорошо работающих w/LDAP, та же конфигурация.
Я попытался вручную перезапустить systemd-logind, но он перестал работать.
Какие-либо идеи? TIA.
(ETA: просто созданный та же самая система на 14,04 и аутентификация LDAP хорошо работает.)
Добавление информации о dpkg.log: существует много шума в этом файле, таким образом, не уверено, что релевантно и полезно, но здесь то, что, кажется, терминальные строки обработки для связанных пакетов:
2016-07-11 13:52:08 status installed libldap-2.4-2:amd64 2.4.42+dfsg-2ubuntu3
2016-07-11 14:11:40 status installed libldap-2.4-2:amd64 2.4.42+dfsg-2ubuntu3.1
2016-07-11 15:02:45 status installed libnss-ldap:amd64 265-3ubuntu2
2016-07-11 15:02:45 status installed ldap-auth-client:all 0.5.3
2016-07-11 15:02:45 status installed ldap-auth-config:all 0.5.3
2016-07-11 15:02:45 status installed libpam-ldap:amd64 184-8.7ubuntu1
2016-07-11 15:04:12 status installed ldap-utils:amd64 2.4.42+dfsg-2ubuntu3.1
Мой сервер LDAP в другом месте; этот сервер только должен пройти проверку подлинности против него как клиент. Файлы конфигурации в/etc/ldap.conf и/etc/ldap/ldap.conf идентичны и, кажется, не изменились между 14,04 и 16.04
Стоит отметить, что, хотя аутентификация LDAP не работает, я могу успешно сделать запрос ldapsearch против сервера LDAP.
2 ответа
Имел ту же проблему с моими 16,04 настольными клиентами.
Наконец разрешенная замена libnss-ldap пакета с libnss-ldapd.
Кажется той же проблемой как в этом отчете об ошибках: https://bugs.launchpad.net/ubuntu / + source/libnss-ldap / + ошибка/1024475
РЕДАКТИРОВАНИЕ : больше информации об этих пакетах от Debian wiki:
в настоящее время существует два пакета, доступные для конфигурирования поисков NSS через LDAP: libnss-ldap пакет и libnss-ldapd пакет. Какой выбрать зависит от потребностей. В общем libnss-ldapd является более простым, но более новым, и libnss-ldap является более сформировавшимся, но более сложным. Также libnss-ldap имеет некоторые известные проблемы со служащей информацией о хосте и поисками во время начальной загрузки, которая должна быть обращена в libnss-ldapd. Кроме того, libnss-ldap повреждает setuid программы (su, sudo) при использовании LDAP+SSL
Способ предотвратить эту проблему состоит в том, чтобы удостовериться nss_initgroups_ignoreusers, параметр - в /etc/ldap.conf (или /etc/libnss-ldap.conf, в зависимости от Вашей системы) - заполняется со всеми (локальными) пользователями в /etc/passwd:
NSS_IGNOREUSERS="$(cut -d: -f1 /etc/passwd | sort | tr '\n' ',' | sed 's|,$||')"
sed -i "s|^nss_initgroups_ignoreusers.*|nss_initgroups_ignoreusers ${NSS_IGNOREUSERS}|" /etc/ldap.conf
Таким образом, когда начальные загрузки системы и службы имен пользователей/групп запрашиваются для запуска локальных служб, больше никакой 'nss_ldap: не Может связаться сервер LDAP' будет выпущен (так как соответствующий локальный пользователь / группа проигнорирован NSS LDAP).
(эта проблема была вокруг в течение многих лет, независимо от systemd)