Estoy explorando la idea de autenticar usuarios en algunas cajas RHEL 6.4 usando LDAP. Estoy usando sssd con un proveedor LDAP y configurando el archivo nsswitch.conf para usar sss para passwd/shadow/group.
¿Cómo puedo configurar las cosas para que los usuarios del sistema (que no provienen de LDAP) puedan estar en los mismos grupos que los usuarios de LDAP? Por ejemplo, es posible que desee que algunos usuarios de LDAP estén en un grupo "svn", para que tengan acceso a un repositorio SVN. Pero también necesito que el servidor SVN se ejecute como usuario de ese grupo, y ese usuario no proviene de LDAP. es posible?
Respuesta1
No conozco SSSD, pero si su base de datos LDAP cumple correctamente con rfc2307bis-02, entonces debería poder agregar valores de atributos de miembro y miembroUid a cualquier grupo en la base de datos LDAP. Los membervalores se utilizan para usuarios LDAP basados en dn, memberUidlos valores son para usuarios locales, que por supuesto no tienen dns. Por ejemplo, lo siguiente debería agregar un usuario local llamado fred y un usuario LDAP llamado ethel al grupo vipb:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
El almacenamiento en caché se interpondrá en el camino, así que:
$ nscd --invalidate=group
Luego puede verificar la membresía del grupo:
$ id -nG fred
$ id -nG ethel