我们有一个用于管理员工的旧应用程序,该应用程序连接到 ApacheDS 并通过它提供 LDAP 身份验证。现在我们想实现 FreeIPA,但不是作为真实来源,而是作为我们的新 LDAP 系统,该ipa migrate-ds命令将不起作用,因为 ApacheDS 没有 POSIX 值。
我曾考虑过从 ApacheDS 导出 ldif,修改文件以便与 OpenLDAP 配合使用,然后导入 OpenLDAP 中的用户以生成 POSIX 值,然后从 OpenLDAP 迁移到 FreeIPA。或者编写一个脚本来添加 POSIX UID/GID,然后将其导入 OpenLDAP,然后导入 FreeIPA,因为它无法直接导入 ldif 文件。
还有其他方法吗?此外,当在旧系统上更新密码时,也需要在 FreeIPA 上更新,并且每天对 ldif 上已删除的用户进行交叉检查,并运行查询以从 OpenLDAP 中删除它们。
我能想到的最好的东西是以下流程中的脚本。旧系统 -> ApacheDS -> ldif -> 脚本 -> OpenLDAP -> FreeIPA
有没有办法将用户导入 FreeIPA 并让其在那里生成 POSIX?或者在 FreeIPA 中使用简单的 LDAP 加载用户,然后运行查询以添加 POSIX?
答案1
您可以使用 IPA 中的生命周期管理功能。使用 LDAP 修改阶段用户,然后激活它们。这将自动添加 POSIX 信息。请参阅https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/managing_idm_users_groups_hosts_and_access_control_rules/using-ldapmodify-to-manage-idm-users-externally_managing-users-groups-hosts了解详情。