使用密码和组时优先考虑 LDAP

使用密码和组时优先考虑 LDAP

我有几台服务器,其中一台(例如 S1)用作 LDAP 服务器。其他服务器配置为针对 LDAP 服务器进行身份验证。

添加用户时,我总是在 S1 上创建一个 unix 用户,然后将其迁移到 LDAP,我认为这是错误的,但我不知道更好的方法。现在我想更改 S1 上 LDAP 用户的密码,但passwd提示current (UNIX) password不是current (LDAP) password

如何为 LDAP 赋予比本地身份验证更高的优先级passwd以及诸如登录等其他情况?

顺便说一下,另一个问题是,我可以使用 LDAP 为用户指定 UNIX 组吗?

答案1

当添加用户时,我总是在 S1 上创建一个 unix 用户,然后将其迁移到 LDAP,我认为这是不正确的,但我不知道更好的方法。

您可以直接将 LDAP 服务器上的 NSS/PAM 用户管理与其自身集成。我正在使用我的Æ-DIR服务器。当然,如果出现任何问题,您必须小心不要将自己锁定。因此,除了用于故障转移的多个副本之外,最好还有某种紧急登录可用。

现在我想更改 S1 上的 LDAP 用户的密码,但 passwd 提示输入当前(UNIX)密码而不是当前(LDAP)密码。

这是当地PAM 配置。您没有提到您正在使用的 Linux。但如今,在大多数 Linux 变体上,PAM 配置位于目录 /etc/pam.d/ 中。相关的 PAM 配置部分是更改密码时相关的 PAM 类型是“密码”。顺序也可以通过 PAM 配置进行更改。

顺便说一句:我不会让所有用户登录 LDAP 服务器使用passwd工具更改密码。我建议为这种用例提供​​基于 Web 的密码自助服务应用程序。

请注意,PAM 非常复杂:您可能会给自己挖出巨大的安全漏洞并/或将自己锁定。因此,请先尝试使用一次性虚拟机。

如果您想将 Linux 与基于 LDAP 的用户管理集成,您可能还需要调整 /etc/nsswitch.conf。

您可能需要查看成熟的现成解决方案:

相关内容