Centos
使用兩個不同 LDAP 伺服器的 SSSD LDAP 身份驗證
我正在嘗試在 CentOS 7 上使用 SSSD 設置 LDAP 身份驗證。
是否可以以使用兩台 LDAP 伺服器的方式設置 SSSD:一台 LDAP 伺服器僅用於身份驗證(基本上只是使用密碼進行身份驗證),其他 LDAP 伺服器用於辨識和獲取使用者的所有屬性(homeDirectory,僅在該 LDAP 伺服器上定義的附加 LDAP 屬性)?
使用者在兩台伺服器上定義(相同的 uid,但不同的基礎)
從長遠來看,你最好找到一種方法來合併你的基地。
但是,
SASL Pass-Through Authentication可能是您的選擇。除非您已經使用它將主要身份驗證傳遞給 Kerberos 之類的東西,在這種情況下,最好複製userPassword條目,因為它可能保持靜態,它應該允許您使用其他基礎進行身份驗證。
不,我認為這是不可能的,除非有一個醜陋的黑客。sssd 支持的唯一特殊情況是用於更改密碼操作的不同 LDAP 伺服器(帶有
ldap_chpass_uri)。但是您可以做的是使用
id_provider=proxy,將其配置為使用 nslcd(又名 nss-pam-ldapd)並將 nslcd 配置為使用身份 LDAP 伺服器。然後配置auth_provider=ldap並將其指向 auth LDAP 伺服器。它不漂亮,你會執行兩個 LDAP 守護程序,但我想不出另一種解決問題的方法。