- - PR -
ssh のログインが遅い (openldap + pam)
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2005-04-07 17:05
現在、Fedra Core 3 にてopenldap + pam 認証の環境を構築しています。
ssh にてリモートホストから構築作業を行おうと思い、 ldapにてユーザを作成したのですが、そのユーザにてアクセスした際に つながるまでが異様に遅い(15秒ほどかかる)、という症状に陥っています。 ldapadd はエラーなしで実行できますし、 id でldif ファイルから設定したユーザ情報は閲覧できるので、 openldapの設定自体には問題がないように思われます。 /var/log/messaga を見る限り、認証に失敗しているわけでもないし、 ( hostname sshd(pam_unix)[xxxxx]: session opend for user nnnnnn by (uid=0) と表示される ) 実際、ちゃんとプロンプトが表示され、ログインはできています。 これは、何が原因と考えられるでしょうか。 インターネットであれこれと日本語、英語問わず文献を探して /etc/pam.d/ 以下のsystem-auth やら sshd やらいろいろ編集したのですが いっこうに早くならないので、わかる方がいらっしゃったらぜひご教授ください。 環境と設定ファイルの内容を載せておきます。 OS : Fedra Core 3 ldap : opendap-2.2.13-2 pam : 0.77-65 --------------------------------------------------------------------- /etc/pam.d/system-auth #%PAM-1.0 auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so #likeauth nullok auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so broken_shadow account sufficient /lib/security/pam_succeed_if.so uid < 100 quiet account [default=bad success=ok user_unknown=ignore] /lib/security/pam_ldap.so account required /lib/security/pam_permit.so password requisite /lib/security/pam_cracklib.so retry=3 password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow password sufficient /lib/security/pam_ldap.so use_authtok password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so session optional /lib/security/pam_ldap.so --------------------------------------------------------------------- /etc/pam.d/login #%PAM-1.0 auth required pam_securetty.so auth required pam_stack.so service=system-auth auth required pam_nologin.so account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_stack.so service=system-auth session optional pam_console.so # pam_selinux.so open should be the last session rule session required pam_selinux.so multiple open --------------------------------------------------------------------- /etc/pam.d/sshd #%PAM-1.0 #auth required /lib/security/pam_nologin.so #auth required /lib/security/pam_unix_auth.so try_first_pass auth required /lib/security/pam_ldap.so account sufficient /lib/security/pam_ldap.so account required /lib/security/pam_unix_acct.so password required /lib/security/pam_cracklib.so password sufficient /lib/security/pam_ldap.so password required /lib/security/pam_pwdb.so use_first_pass session required /lib/security/pam_unix_session.so |
|
投稿日時: 2005-04-07 18:37
良くあるパターンとしては、
・アクセス元のIPアドレスを逆引きし、結果を待つ分時間がかかる。 ・アクセス元へident要求を出し、タイムアウトになる分時間がかかる。 というのがあります。 sshd自体では制御していなくても、ライブラリとして組み込まれている libwrap(tcp wrapper)が噛んでることも考えられます。 …裏を取る時間がなかったので、正しいかどうか自信が無いですが、ご参考まで。 [ メッセージ編集済み 編集者: angel 編集日時 2005-04-07 18:38 ] |
|
投稿日時: 2005-04-07 19:23
お返事ありがとうございます。
おっしゃるとおり、名前解決の手段をまったく用意してませんでした。 /etc/hosts に接続元のホスト情報を記載したところ、 即座にログインできるようになりました。 横着して名前解決用ファイル群を未編集で作業したのが間違いでした。。。 本当にありがとうございました。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。