在我的大学里,有一个由教职员工管理的 LDAP 服务器。我们可以从我们的机器上使用这个 LDAP 服务器,但不能修改属性(例如:用户登录 shell)。
我们想修改这些属性,因此我们考虑设置一个 LDAP 服务器作为另一个服务器的代理:我们将在我们的 LDAP 服务器上设置我们需要的任何属性,然后使用工作人员提供的属性进行身份验证。
有什么办法可以做到这一点?
答案1
正确答案是replication
。安排 LDAP 服务器的管理员将其内容复制到您的本地 LDAP 服务器。他们可能会拒绝,因为如果复制不是multi-master
双向的,数据库可能会出现分歧。如果做不到这一点,请配置您自己的 LDAP 服务器并根据需要填充数据,然后配置您的 LDAP 客户端以使用新服务器。
答案2
OpenLDAP 的覆盖slapo-半透明是专为此目的而设计的。基本上,您在 LDAP 代理后端维护一个本地数据库,以增强从公司 LDAP 服务器检索的内容。
也可以看看:OpenLDAP 管理指南--半透明代理
对于简单的情况主目录我建议看看 NSS/PAM 客户端喜欢什么ssd 的和nss-pam-ldapd提供特殊属性映射。这可能已经足够了。