<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Oct 5, 2016 at 7:08 PM, Xen <span dir="ltr"><<a href="mailto:list@xenhideout.nl" target="_blank">list@xenhideout.nl</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Mantas Mikulėnas schreef op 05-10-2016 14:49:<span class=""><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Wed, Oct 5, 2016 at 1:47 PM, Xen <<a href="mailto:list@xenhideout.nl" target="_blank">list@xenhideout.nl</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<br>
the libnss-ldap package on my system used to contain (and still<br>
contains) a script that is run on system reboot and shutdown and<br>
installs itself into SysV directories for runlevel 0 and 6.<br>
</blockquote>
<br>
Do you mean libnss-ldapd? The standalone libnss-ldap has been<br>
deprecated for quite a while (in favor of nslcd-based thin modules).<br>
<br>
Also, what does this script do?<br>
</blockquote>
<br></span>
Thanks for the hint. I had come across nslcd but it seemed more complicated to get it running the first time, so I opted for the smaller solution having only libnss-ldap. I was not actually aware (anymore) of libnss-ldapd.<br>
<br>
I am sure it is a "better" solution I was just not sure I could get it running in due time.<br>
<br>
I also don't know what could be the difference here (I am sure there could be).<br>
<br>
The script does what I have mentioned in another email which is to exclude certain users and groups from being LDAP-sourced by factual enumeration: the script just lists all of the groups and user (I think) and puts them into the configuration file. It is just a bit of an ugly workaround I guess as to simply checking for user and group ID.<br>
<br>
The script probably just assumes that all user IDs and user groups start above a certain UID/GID.<br>
<br>
What you would really need is an LDAP module that would not perform lookups above a certain ID, but this also works, and is in a way more flexible and powerful.<br>
<br>
Even with very low timeouts LDAP queries would not be okay for system groups.<br>
<br>
There is just no way you can run a (Linux) system with system groups and users in some LDAP database.<br>
</blockquote></div><br>If you mean "would not perform lookups _below_ a certain ID", then sure, that exists. In /etc/nslcd.conf you can specify "nss_min_uid 1000", for example, to avoid lookups for all system UIDs.<br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Mantas Mikulėnas <<a href="mailto:grawity@gmail.com" target="_blank">grawity@gmail.com</a>></div></div>
</div></div>