Как аутентифицировать пользователей linux по двум разным каталогам одновременно?
У меня есть несколько серверов Linux, использующих SSSD, интегрированный с Microsoft AD для аутентификации пользователей AD.
Группы AD управляются другим отделом, и я хотел бы создать другой каталог для управления своими группами, но я не могу просто выйти из домена.
Итак, я подумываю об установке нового сервера OpenLDAP или IPA для создания своих собственных групп и о создании конфигурации на моих серверах Linux, чтобы они могли одновременно получать идентификаторы / группы из AD и из моего LDAP. Таким образом, если пользователь существует в обоих, список групп, к которому он принадлежит, будет надмножеством, состоящим из обоих списков групп.
Например - допустим, у меня есть пользователь Джон, который существует в AD, и он включен в группы AD: "group1" и "group2". Я бы создал пользователя (такой же uid) в своем собственном каталоге и включил бы его в "group3". Поэтому, когда пользователь входит в мой сервер Linux, он будет в "group1", "group2" и "group3".
Как это было бы возможно?
Заранее спасибо.
1 ответ
Поиск информации о пользователях фактически отделен от аутентификации - он обрабатывается nsswitch, а не PAM.
В любом случае - первое, что нужно попробовать, - это настроить два домена в sssd (один AD, один LDAP) и посмотреть, объединяет ли sssd результаты поиска обоих.
Если это не работает, настройте nslcd или другой альтернативный клиент LDAP, сохраняя sssd для AD, и перечислите оба модуля в системе. nsswitch.conf
, Результаты из разных модулей обычно объединяются (например, /etc/group может расширять пользователей AD).