私は、LDAP を使用して一部の RHEL 6.4 ボックスでユーザーを認証するアイデアを検討しています。LDAP プロバイダーで sssd を使用しており、passwd/shadow/group に sss を使用するように nsswitch.conf ファイルを設定しています。
システム ユーザー (LDAP から取得されない) が LDAP ユーザーと同じグループに所属できるように設定するにはどうすればよいですか? たとえば、一部の LDAP ユーザーを "svn" グループに所属させて、SVN リポジトリにアクセスできるようにしたいとします。ただし、そのグループのユーザーとして SVN サーバーを実行する必要があり、そのユーザーは LDAP から取得されません。これは可能ですか?
答え1
SSSD についてはよくわかりませんが、LDAP データベースが rfc2307bis-02 に適切に準拠している場合は、LDAP データベース内の任意のグループに member 属性値と memberUid 属性値の両方を追加できるはずです。値はmemberdn ベースの LDAP ユーザーに使用され、memberUid値はローカル ユーザー用で、もちろん dns はありません。たとえば、次のコードでは、fred というローカル ユーザーと ethel という LDAP ユーザーが vipb グループに追加されます。
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
キャッシュは邪魔になるので、次のようになります。
$ nscd --invalidate=group
その後、グループのメンバーシップを確認できます。
$ id -nG fred
$ id -nG ethel