是否可以设置一个 Linux 机器,使其从一个 LDAP 服务器获取身份验证信息,并从另一个服务器获取所有其他 posix 内容(uid、组、主目录等)?
您可能想知道...这种看似不必要的复杂化是由于我需要遵循某些“政策”而导致的:用户凭证存储在一些 posix 不知情的官方“企业”数据库中,这些数据库很难修复(并且除了通过复杂的手动官僚程序外无法修改),并且这个 Linux 机器不允许对任何其他机器进行身份验证。
其他建议(例如涉及我的 OpenLDAP 服务器配置的解决方案)也非常有价值。
谢谢你!
答案1
当然可以。您可能需要编译 pam_* 的另一个副本,以查看另一组配置文件,但这是可行的。另一种方法是使用 OpenLDAP 服务器(或另一个执行代理的服务器)的代理功能。
答案2
理想的解决方案:修复您的官僚 LDAP 目录(合并 POSIX 模式)。
替代解决方案:
pam_ldap使用一份副本/配置授權数据和另一个帐户数据- 自定义编译一个版本来做
pam_ldap你想做的事情(毛茸茸的) - 使用 LDIF 将用户名/密码导入 OpenLDAP(信息同步问题)。