Группы с локальными пользователями и пользователями LDAP
Я исследую идею аутентифицировать пользователей на некоторых полях RHEL 6.4 с помощью LDAP. Я использую sssd с поставщиком LDAP и устанавливаю nsswitch.conf файл для использования sss для passwd/shadow/group.
Как я могу настроить вещи так, чтобы пользователи системы (которые не прибывают из LDAP) могли быть в тех же группах как пользователи LDAP? Например, я мог бы хотеть, чтобы некоторые пользователи LDAP были в "svn" группе, таким образом, у них есть доступ к репозиторию SVN. Но мне также нужен сервер SVN для выполнения как пользователь в той группе, и тот пользователь не происходит из LDAP. Действительно ли это возможно?
Я не знаю SSSD, но если ваша база данных LDAP должным образом совместима с rfc2307bis-02, вы сможете добавить значения атрибутов member и memberUid в любую группу в базе данных LDAP. Значения member используются для пользователей LDAP на основе dn, значения memberUid предназначены для локальных пользователей, у которых, конечно, нет DNS. Например, следующее должно добавить локального пользователя с именем fred и пользователя LDAP с именем ethel в группу vipb:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
Кеширование будет мешать, поэтому:
$ nscd --invalidate=group
Затем вы можете проверить членство в группе:
$ id -nG fred
$ id -nG ethel