CentOS 7 で SSSD を使用して LDAP 認証を設定しようとしています。
SSSD を、2 つの LDAP サーバーを使用するように設定することは可能ですか。1 つの LDAP サーバーは認証のみに使用され (基本的にはパスワードによる認証のみ)、もう 1 つの LDAP サーバーはユーザーの識別とすべての属性の取得に使用されます (homeDirectory、その LDAP サーバーでのみ定義された追加の LDAP 属性)。
ユーザーは両方のサーバーで定義されています (uidは同じですが、ベースは異なります)
答え1
長期的には、基地を統合する方法を見つける方が良いでしょう。
しかし、SASL Pass-Through Authenticationあなたにとっては選択肢になるかもしれません。すでにメインの認証を Kerberos などに渡すために使用していない限り、エントリはuserPassword静的のままになる可能性が高いため、エントリを複製するのが最善です。これにより、他のベースを認証に使用できるようになります。
答え2
いいえ、醜いハック以外ではこれは不可能だと思います。sssd がサポートする唯一の特殊なケースは、パスワード変更操作用の別の LDAP サーバーです ( を使用ldap_chpass_uri)。
id_provider=proxyただし、 を使用し、nslcd (別名 nss-pam-ldapd) を使用するように設定し、nslcd がアイデンティティ LDAP サーバーを使用するように設定することは可能です。次に、auth_provider=ldap認証 LDAP サーバーを設定してポイントします。
これはあまり良くないし、2 つの LDAP デーモンが実行されることになりますが、問題を解決する他の方法は思いつきません。