我正在探索使用 LDAP 在某些 RHEL 6.4 机器上对用户进行身份验证的想法。我将 sssd 与 LDAP 提供程序结合使用,并将 nsswitch.conf 文件设置为使用 sss 作为 passwd/shadow/group。
我该如何设置,以便系统用户(不是来自 LDAP)可以与 LDAP 用户位于同一组中?例如,我可能希望某些 LDAP 用户位于“svn”组中,这样他们就可以访问 SVN 存储库。但我还需要 SVN 服务器以该组中的用户身份运行,并且该用户不是来自 LDAP。这可能吗?
答案1
我不知道 SSSD,但如果您的 LDAP 数据库完全符合 rfc2307bis-02 标准,那么您应该能够将 member 和 memberUid 属性值添加到 LDAP 数据库中的任何组。这些member值用于基于 dn 的 LDAP 用户,memberUid值用于本地用户,当然这些用户没有 dns。例如,以下应将名为 fred 的本地用户和名为 ethel 的 LDAP 用户添加到 vipb 组:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
缓存会造成阻碍,因此:
$ nscd --invalidate=group
然后您可以检查组成员身份:
$ id -nG fred
$ id -nG ethel