Actualmente uso winbind, pero busco cambiar a pam_ldap.
¿Pam_ldap tiene la capacidad de tomar un uid sobre la marcha como lo hace winbind (de un conjunto de números) y almacenarlo en caché localmente durante su uso?
La documentación no menciona tal capacidad, pero no es deseable agregar los atributos uid/gid de Unix a cada usuario en el repositorio ldap (ya que es AD y, en gran medida, usuarios de Windows).
Respuesta1
Lo que estás buscando es 'nscd' (demonio de almacenamiento en caché del servidor de nombres), es parte del código fuente del árbol glibc y es una parte estándar en la mayoría de los sistemas. En muchos casos, todo lo que necesita hacer es instalar el paquete e iniciar el demonio, que está preconfigurado para almacenar en caché todo y trabajar con pam_ldap. En un sistema Red Hat/CentOS, puede ejecutar 'authconfig' y ver que hay una opción de casilla de verificación para hacerlo todo por usted: habilite LDAP y el almacenamiento en caché, escribirá sus configuraciones.
Ahora, para su concepto uid/gid sobre la marcha, lo que creo que está buscando es la opción pam_ldap 'pam_login_attribute' (predeterminado: uid) y 'pam_member_attribute', posiblemente también 'pam_filter'. 'pam_login_attribute' es lo que controla la búsqueda de su nombre de inicio de sesión si necesita modificarlo.