Я пытаюсь настроить аутентификацию LDAP с использованием SSSD на CentOS 7.
Можно ли настроить SSSD таким образом, чтобы он использовал два сервера LDAP: один сервер LDAP используется только для аутентификации (в основном только для аутентификации с помощью пароля), а другой сервер LDAP используется для идентификации и получения всех атрибутов пользователя (homeDirectory, дополнительные атрибуты LDAP, определенные только на этом сервере LDAP)?
Пользователи определены на обоих серверах (тот же uid, но разная база)
В конечном итоге вам лучше найти способ объединить свои базы.
Однако сквозная аутентификация SASL
может быть для вас вариантом. Если вы уже не используете его для передачи вашей основной аутентификации чему-то вроде Kerberos, в этом случае вам лучше всего будет реплицировать запись userPassword
, поскольку она, вероятно, останется статической, это должно позволить вам использовать другую базу для аутентификации.
Нет, я не думаю, что это возможно, кроме как с помощью уродливого взлома. Единственный особый случай, который поддерживает sssd, - это другой сервер LDAP для операций смены пароля (с ldap_chpass_uri
).
Но что вы можете сделать, так это использовать id_provider = proxy
, настроить он использует nslcd (он же nss-pam-ldapd) и настраивает nslcd для использования идентификационного LDAP-сервера. Затем настройте auth_provider = ldap
и укажите его на сервер аутентификации LDAP.
Это некрасиво, и у вас будут запущены два демона LDAP, но я не могу придумать другого способа решения проблемы.