我终于在 Ubuntu 18.04 上实现了 LDAP 身份验证,但是只有在我首先创建本地用户帐户(例如 john.smith)时它才有效。
如果我不先创建帐户,它将无法绑定到 LDAP 服务器(AD)。
有趣的是,它找到了用户(auth.log 显示 OU)但是它随后尝试与 cn=john smith 进行绑定(中间缺少句点)。
我可以让 PAM 自动创建本地帐户并分配给本地 Unix 组吗?
任何帮助或指点都值得赞赏。蒂姆
答案1
通常,实现 Linux/Unix 的中央用户管理包括两部分:
- PAM(您已经做过的)用于用户密码验证
- NSS(名称服务交换机)配置用于集成远程用户管理(例如 LDAP),以提供密码和团体地图
通常您会使用本地 NSS/PAM 服务,如 sssd 或 nss-pam-ldapd(又名 nslcd),但不会添加任何本地用户。
PAM 在 /etc/pam.d 中配置,NSS 在 /etc/nsswitch.conf 中配置。