我有几个 Linux 服务器使用 SSSD 与 Microsoft AD 集成来验证 AD 用户。
AD 组由不同的部门管理,我想设置另一个目录来管理我自己的组,但我不能直接退出域。
因此,我正在考虑安装一个新的 OpenLDAP 或 IPA 服务器来创建我自己的组,并在我的 Linux 服务器中提出一个配置,这样它们就可以同时从 AD 和我的 LDAP 中提取身份/组。因此,如果用户同时存在于两个组中,则该用户所属的组列表将是由两个组列表组成的超集。
例如 - 假设我有一个用户 John,他存在于 AD 中,并且他包含在 AD 组中:“group1”和“group2”。我将在自己的目录中创建该用户(相同的 uid)并将他包含在“group3”中。因此,当用户登录到我的 Linux 服务器时,他将位于“group1”、“group2”和“group3”中。
这怎么可能呢?
提前致谢。
答案1
用户信息检索实际上与身份验证是分开的 - 它由 nsswitch 处理,而不是 PAM。
无论哪种方式 - 首先要尝试的是在 sssd 中配置两个域(一个 AD,一个 LDAP)并查看 sssd 是否合并了两者的查找结果。
如果这不起作用,请设置 nslcd 或其他替代 LDAP 客户端,同时保留 sssd 用于 AD,并列出两个都系统中的模块nsswitch.conf。不同模块的结果通常会合并(例如 /etc/group 可以扩充 AD 用户)。