Ich prüfe die Idee, Benutzer auf einigen RHEL 6.4-Boxen mit LDAP zu authentifizieren. Ich verwende sssd mit einem LDAP-Anbieter und stelle die Datei nsswitch.conf so ein, dass sss für passwd/shadow/group verwendet wird.
Wie kann ich es einrichten, dass Systembenutzer (die nicht von LDAP kommen) in denselben Gruppen sein können wie LDAP-Benutzer? Ich möchte beispielsweise, dass einige LDAP-Benutzer in einer „SVN“-Gruppe sind, damit sie Zugriff auf ein SVN-Repository haben. Aber ich muss auch den SVN-Server als Benutzer in dieser Gruppe ausführen, und dieser Benutzer kommt nicht von LDAP. Ist das möglich?
Antwort1
Ich kenne SSSD nicht, aber wenn Ihre LDAP-Datenbank ordnungsgemäß rfc2307bis-02-kompatibel ist, sollten Sie in der Lage sein, jeder Gruppe in der LDAP-Datenbank sowohl Member- als auch MemberUid-Attributwerte hinzuzufügen. Die memberWerte werden für DN-basierte LDAP-Benutzer verwendet, memberUiddie Werte gelten für lokale Benutzer, die natürlich keinen DNS haben. Im Folgenden sollten beispielsweise ein lokaler Benutzer namens Fred und ein LDAP-Benutzer namens Ethel zur VIPB-Gruppe hinzugefügt werden:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
Das Caching würde dabei stören, daher:
$ nscd --invalidate=group
Anschließend können Sie die Gruppenmitgliedschaft überprüfen:
$ id -nG fred
$ id -nG ethel