Я настраиваю сервер Debian в своей компании, где пользователями управляют в Active Directory.
Я хотел бы аутентифицировать пользователей с AD, но я думаю, что было бы лучше, по возможности, иметь локальный OpenLDAP для аутентификации против того, в случае, если AD сервер или сеть падают.
Я видел учебные руководства об установке сквозной аутентификации
но это не говорит, что происходит, если AD сервер не достижим. AFAIU, сбои запроса.
Кто-то здесь предлагает использовать установку OpenLDAP Proxy Cache Engine высокий TTL.
Я должен копировать целый каталог вместо этого? Я не возражаю, если новые пользователи могут "t аутентифицироваться. Я был бы счастлив, если уже локально известные пользователи могут аутентифицироваться с помощью последнего принятого пароля. Таким образом, самым легким решением является мой фаворит.
Я искал с большим количеством условий включая кэш/кэширование, копию, и т.д. Я не нашел "grab-my-hand-and-show-me-how-to-do-that-on-debian-jessie" пошагового решения, таким образом, могло случиться так, что то, что я думал, будет относительно стандартно, на самом деле немного хитро.
Я не уверен, спрашиваете ли вы вообще, как заставить сервер Debian выполнять аутентификацию/авторизацию по отношению к Active Directory... или как убедиться, что существующая аутентификация/авторизация высоко доступна. Я собираюсь предположить последнее в этом ответе.
Короткий ответ заключается в том, что установка OpenLDAP в качестве уровня кэширования для Active Directory - глупость. AD является мультимастерной реплицированной базой данных. Если вам нужна высокая доступность, просто вспомните другую. Если ваши DC находятся в другом сегменте сети, к которому вы беспокоитесь о потере связи, вызовите DC (или два) в вашем сегменте локальной сети и настройте необходимую топологию сайта в AD.
.Локальный OpenLDAP сервер, вероятно, не лучший способ справиться с описанной выше ситуацией. Думаю, вам стоит хорошенько взглянуть на sssd
. В нём должно быть всё, что вам нужно.