Wie authentifizieren Sie Linux-Benutzer gleichzeitig gegen zwei verschiedene Verzeichnisse?

741
Eloy Acosta

Ich habe einige Linux-Server, die SSSD verwenden, das in Microsoft AD integriert ist, um AD-Benutzer zu authentifizieren.

AD-Gruppen werden von einer anderen Abteilung verwaltet, und ich möchte ein anderes Verzeichnis einrichten, um meine eigenen Gruppen zu verwalten, aber ich kann die Domäne nicht einfach verlassen.

Daher überlege ich mir, einen neuen OpenLDAP- oder IPA-Server zu installieren, um eigene Gruppen zu erstellen und eine Konfiguration in meinen Linux-Servern zu erstellen, damit Identitäten / Gruppen gleichzeitig von AD und von meinem LDAP abgerufen werden. Wenn also ein Benutzer in beiden vorhanden ist, wäre die Gruppenliste, zu der der Benutzer gehört, eine Obermenge, die aus beiden Gruppenlisten besteht.

Beispiel: Angenommen, ich habe einen Benutzer John, der in AD vorhanden ist und in AD-Gruppen enthalten ist: "group1" und "group2". Ich würde den Benutzer (gleiche UID) in meinem eigenen Verzeichnis erstellen und ihn in "group3" aufnehmen. Wenn sich der Benutzer an meinem Linux-Server anmeldet, befindet er sich in "group1", "group2" und "group3".

Wie wäre das möglich?

Danke im Voraus.

0
Cross-posted auf: http://serverfault.com/questions/824768/how-to-authenticate-linux-users-against-two-different-directories- gleichzeitig janos vor 7 Jahren 0

1 Antwort auf die Frage

0
grawity

Der Abruf von Benutzerinformationen ist von der Authentifizierung getrennt - sie wird von nsswitch und nicht von PAM gehandhabt.

So oder so - zuerst sollten Sie zwei Domänen in sssd (ein AD, ein LDAP) konfigurieren und prüfen, ob sssd die Suchresultate beider zusammenführt.

Wenn dies nicht funktioniert, richten Sie nslcd oder einen anderen alternativen LDAP-Client ein, während Sie sssd für AD beibehalten, und listen Sie beide Module im System auf nsswitch.conf. Ergebnisse aus verschiedenen Modulen werden normalerweise zusammengeführt (z. B. kann / etc / group AD-Benutzer erweitern).

Ich danke dir sehr! Das ist sehr sinnvoll und es lohnt sich auf jeden Fall, es auszuprobieren. Ich habe nur eine Frage: Wenn sssd keine Benutzerinformationen verarbeitet, wie funktioniert das, wenn ich die beiden Domänen in der sssd.conf hinzugefügt habe? In diesem Fall sollte das keinen Unterschied machen. Danke noch einmal! Eloy Acosta vor 7 Jahren 0
@ EloyAcosta: Ich habe nie gesagt, dass es nicht so ist. grawity vor 7 Jahren 0

Verwandte Probleme