Как аутентифицировать пользователей linux по двум разным каталогам одновременно?

599
Eloy Acosta

У меня есть несколько серверов Linux, использующих SSSD, интегрированный с Microsoft AD для аутентификации пользователей AD.

Группы AD управляются другим отделом, и я хотел бы создать другой каталог для управления своими группами, но я не могу просто выйти из домена.

Итак, я подумываю об установке нового сервера OpenLDAP или IPA для создания моих собственных групп и о создании конфигурации на моих Linux-серверах, чтобы они могли одновременно получать идентификаторы / группы из AD и из моего LDAP. Таким образом, если пользователь существует в обоих, список групп, к которому он принадлежит, будет надмножеством, состоящим из обоих списков групп.

Например - допустим, у меня есть пользователь Джон, который существует в AD, и он включен в группы AD: «group1» и «group2». Я бы создал пользователя (такой же uid) в своем собственном каталоге и включил бы его в "group3". Поэтому, когда пользователь входит в мой сервер Linux, он будет в «group1», «group2» и «group3».

Как это было бы возможно?

Заранее спасибо.

0
Перекрестная публикация на: http://serverfault.com/questions/824768/how-to-authenticate-linux-users-against-two-different-directories-sim одновременно janos 7 лет назад 0

1 ответ на вопрос

0
grawity

Поиск информации о пользователях фактически отделен от аутентификации - он обрабатывается nsswitch, а не PAM.

В любом случае - первое, что нужно попробовать - настроить два домена в sssd (один AD, один LDAP) и посмотреть, объединяет ли sssd результаты поиска обоих.

Если это не помогает, настройте nslcd или другой альтернативный клиент LDAP, сохраняя sssd для AD, и перечислите оба модуля в системе nsswitch.conf. Результаты из разных модулей обычно объединяются (например, / etc / group может расширять пользователей AD).

Спасибо вам большое! Это имеет большой смысл, и это определенно стоит попробовать. У меня только один вопрос, если sssd не обрабатывает пользовательскую информацию вообще, как это будет работать, если я добавлю два домена в sssd.conf? В этом случае это не должно иметь никакого значения. Еще раз спасибо! Eloy Acosta 7 лет назад 0
@EloyAcosta: я никогда не говорил, что нет. grawity 7 лет назад 0

Похожие вопросы