Ich versuche, die LDAP-Authentifizierung mit SSSD unter CentOS 7 einzurichten.
Ist es möglich, SSSD so einzurichten, dass es zwei LDAP-Server verwendet: Ein LDAP-Server wird nur zur Authentifizierung verwendet (im Wesentlichen nur zur Authentifizierung mit dem Kennwort) und der andere LDAP-Server wird zur Identifizierung und zum Abrufen aller Attribute eines Benutzers verwendet (Home-Verzeichnis, zusätzliche LDAP-Attribute, die nur auf diesem LDAP-Server definiert sind)?
Benutzer sind auf beiden Servern definiert (gleiche UID, aber unterschiedliche Basis)
Antwort1
Auf lange Sicht wäre es besser, einen Weg zu finden, Ihre Basen zusammenzulegen
.SASL Pass-Through Authenticationkönnte eine Option für Sie sein. Sofern Sie es nicht bereits verwenden, um Ihre Hauptauthentifizierung an etwas wie Kerberos weiterzuleiten. In diesem Fall wäre es am besten, den userPasswordEintrag zu replizieren, da er wahrscheinlich statisch bleibt. So können Sie die andere Basis zur Authentifizierung verwenden.
Antwort2
Nein, ich glaube nicht, dass das möglich ist, außer mit einem hässlichen Hack. Der einzige Sonderfall, den sssd unterstützt, ist ein anderer LDAP-Server für Kennwortänderungsvorgänge (mit ldap_chpass_uri).
Sie können es aber auch verwenden und so id_provider=proxykonfigurieren, dass es nslcd (auch bekannt als nss-pam-ldapd) verwendet, und nslcd so konfigurieren, dass es den Identitäts-LDAP-Server verwendet. Konfigurieren Sie es dann auth_provider=ldapund richten Sie es auf den Authentifizierungs-LDAP-Server aus.
Das ist nicht schön und Sie würden zwei LDAP-Daemons laufen lassen, aber mir fällt keine andere Möglichkeit zur Lösung des Problems ein.