具有固定默认属性的 ldap-overlay

我拥有一个庞大的用户群 (>>1000)，应该能够共同使用一些共享服务。

用户群正在缓慢但持续地变化。

特别是我们对特权分离不感兴趣（所有用户都是平等的），因此从特权角度来看，他们可以共享一个帐户。但是，出于安全原因，我们不能使用共享凭据。幸运的是，所有用户都可以通过 LDAP 获得自己的用户名/密码。

因此我们实现了一个登录服务器（Debian 上的 ssh），人们通过 PAM 和 OpenLDAP 进行身份验证。

现在 LDAP 服务器没有提供太多信息，只有用户名和身份验证能力。特别是，它缺少objectClass: posixAccount和附带的属性

• uidNumber
• gidNumber
• loginShell
• homeDirectory

我对 LDAP 服务器的访问非常有限（特别是我无法要求添加这些或任何其他属性），基本上它只允许我对用户进行身份验证。

现在的好消息是，我不太在意所有用户的这些属性是否具有相同的值。

所以我最终实现了一个使用translucent覆盖来添加缺失属性的代理 LDAP 服务器。覆盖数据是通过一个脚本生成的，该脚本从上游 LDAP 数据创建一个精简的 LDIF 文件，然后使用该文件填充半透明数据库。

这可以正常工作，但是从可维护性的角度来看我不喜欢它：因为用户群在变化，我需要定期手动更新数据库（它很少变化 - 每隔几个月 - 所以工作量不大但也很容易忘记）。

因为覆盖数据太简单了（所有对象都有相同的属性/值），我认为一定有更好的方法。理想情况下，我希望有一个覆盖，可以将这些属性添加到全部对象（匹配给定的搜索词）。

为了使事情稍微复杂一些，我们还针对另一个提供posixAccount数据的 LDAP 服务器对另一个用户群进行身份验证；这个组的用户当然不应该受到另一个组所需的所有覆盖魔法的影响；我认为这排除了在 PAM 方面所做的任何魔法。