Как аутентифицировать пользователей linux по двум разным каталогам одновременно?

Question

У меня есть несколько серверов Linux, использующих SSSD, интегрированный с Microsoft AD для аутентификации пользователей AD.

Группы AD управляются другим отделом, и я хотел бы создать другой каталог для управления своими группами, но я не могу просто выйти из домена.

Итак, я подумываю об установке нового сервера OpenLDAP или IPA для создания своих собственных групп и о создании конфигурации на моих серверах Linux, чтобы они могли одновременно получать идентификаторы / группы из AD и из моего LDAP. Таким образом, если пользователь существует в обоих, список групп, к которому он принадлежит, будет надмножеством, состоящим из обоих списков групп.

Например - допустим, у меня есть пользователь Джон, который существует в AD, и он включен в группы AD: "group1" и "group2". Я бы создал пользователя (такой же uid) в своем собственном каталоге и включил бы его в "group3". Поэтому, когда пользователь входит в мой сервер Linux, он будет в "group1", "group2" и "group3".

Как это было бы возможно?

Заранее спасибо.

Answer 1

Поиск информации о пользователях фактически отделен от аутентификации - он обрабатывается nsswitch, а не PAM.

В любом случае - первое, что нужно попробовать - настроить два домена в sssd (один AD, один LDAP) и посмотреть, объединяет ли sssd результаты поиска обоих.

Если это не помогает, настройте nslcd или другой альтернативный клиент LDAP, сохраняя sssd для AD, и перечислите оба модуля в системном nsswitch.conf . Результаты из разных модулей обычно объединяются (например, /etc /group может расширять пользователей AD).