LDAPへの移行

LDAPへの移行

私は、Linux、xBSD、OpenSolaris のボックスが驚くほど乱雑に混在する会社で新しい仕事を始めました。各ボックスには、ローカルの /etc/passwd などを使用した独自のユーザー認証があります。ユーザー/グループは各マシンで異なる uid/gid を持ち、各マシンには独自の /home/ ツリーがあります (中央 NAS の /homes はありません)。私の仕事は、すべてを LDAP ディレクトリに取り込み、それをログイン認証に使用することです。LDAP で異なる uid/gid を処理するにはどうすればよいでしょうか。

ありがとう。

答え1

最終的には、uid/gid を修正して統合します。

または、何らかの方法でそれらを統合します。各ユーザー オブジェクトごとにシステムごとの uid を保存するメタ ディレクトリを使用できます (gid についても同様)。

したがって、オブジェクトにすべての値を設定できますが、メタ ディレクトリに対する LDAP バインドでそれらを区別する方法が必要になります。おそらく、システムごとに異なる uid 属性 (扱いにくくなります) を設定し、各システムをデフォルトの uid ではなく独自の uid 属性を使用するように構成します。

コメントに基づいてさらに検討した結果、これは IDM スタイルのシステムを使用せずに実行できるものだと思いますが、代わりに選択した LDAP サーバーを立ち上げるだけで済みます。次に、すべてのソースからデータをエクスポートして統合します。つまり、geoffc ユーザーごとに、データ ソース内のすべての uid を見つけます。次に、LDIF ファイルに SystemAuid=123、SystemBuid=999、SystemCuid=767543 などを追加します。

次に、SystemA を pam/ldap 構成で uid= の代わりに SystemAuid= を使用するように構成します。

グループの場合も基本的な考え方は同じです。IDM スタイルのシステムは、基本プロセスの一部として独自にデータ作業を実行し、時間の経過とともに各システムで変更が発生してもそれを維持するように設定されます。

LDAP に新しいユーザーを追加するには、プロセスを追加する必要があります。その場合、次に使用可能な空き uid を選択し、それをこのユーザーのすべての値に割り当てることで、今後は複数の値を使用することはなくなります。

関連情報