我有几个 Linux 服务器使用 SSSD 与 Microsoft AD 集成来验证 AD 用户。
AD 组由不同的部门管理,我想设置另一个目录来管理我自己的组,但我不能直接退出域。
因此,我正在考虑安装一个新的 OpenLDAP 或 IPA 服务器来创建我自己的组,并在我的 Linux 服务器中提出一个配置,这样它们就可以同时从 AD 和我的 LDAP 中提取身份/组。因此,如果用户同时存在于两个组中,则该用户所属的组列表将是由两个组列表组成的超集。
例如 - 假设我有一个用户 John,他存在于 AD 中,并且他包含在 AD 组中:“group1”和“group2”。我将在自己的目录中创建该用户(相同的 uid)并将他包含在“group3”中。因此,当用户登录到我的 Linux 服务器时,他将位于“group1”、“group2”和“group3”中。
这怎么可能呢?
提前致谢。
答案1
我最终通过使用 sssd 从 OpenLDAP 中提取用户身份并使用 nslcd 从 AD 获取其他组来实现此目的。效果很好。