我们正在努力将我们的 Linux 服务器配置为使用 PAM_LDAP + SSSD 进行 LDAP 身份验证。我们的 LDAP 用户名基于员工编号(所有数字都从 1 开始)。这将导致与守护进程、bin、sys...系统帐户发生冲突。考虑到我们的用户名模式,对我们来说最好的选择是什么?
答案1
重命名用户。一开始使用数字用户名是不好的(因为 getent passwd 之类的实用程序将不知道您是在询问 UID 还是用户名),并且 UID 从 1 开始也是不好的,原因您刚刚已经知道了。
这正是 FreeIPA 等中心化商店将其 UID 范围从数百万开始的原因。最后,所有用户(无论是否使用 LDAP)的 UID 都不应低于 /etc/login.defs 中的 UID_MIN。