大多数人将 PAM 和 NSS ldap 模块配置为指向处理 pam_ldap.conf 或 libnss-ldap.conf 中定义的单个搜索基础的 ldap 服务器。手册页未描述任何指定多个基础的选项。
是否可以配置一个 Linux 系统来使用由不同的 ldap 服务器处理的多个基础,这样如果在第一个域中找不到用户,系统会在下一个域中搜索该用户,并不断尝试每个不同的基础,直到找到用户或用尽所有基础?
我正在处理的案例场景是,我有一个本地 LDAP 服务器,我设置了它来提供服务base dc=yyyy,并且我在 jumpcloud 中设置了一个单独的 ldap 目录base ou=Users,o=<orgid>,dc=jumpcloud,dc=com。此目录的用户组与第一个不同。当用户登录时,我希望系统首先搜索本地 ldap 目录;如果在那里找不到用户,我希望它根据 jumpcloud 目录进行身份验证。