Estoy intentando configurar la autenticación LDAP usando SSSD en CentOS 7.
¿Es posible configurar SSSD de manera que utilice dos servidores LDAP: un servidor LDAP se usa solo para autenticación (básicamente solo para autenticarse con la contraseña) y otro servidor LDAP se usa para identificación y obtener todos los atributos de un usuario? (homeDirectory, atributos LDAP adicionales definidos solo en ese servidor LDAP)?
Los usuarios están definidos en ambos servidores (mismo uid, pero base diferente)
Respuesta1
A la larga, será mejor que encuentres una manera de fusionar tus bases.
Sin embargo,SASL Pass-Through Authenticationpuede ser una opción para ti. A menos que ya lo esté usando para pasar su autenticación principal a algo como Kerberos, en cuyo caso, sería mejor replicar la userPasswordentrada, ya que es probable que permanezca estática, debería permitirle usar la otra base para la autenticación.
Respuesta2
No, no creo que esto sea posible excepto con un truco feo. El único caso especial que admite sssd es un servidor LDAP diferente para operaciones de cambio de contraseña (con ldap_chpass_uri).
Pero lo que podría hacer es usar id_provider=proxy, configurarlo para usar nslcd (también conocido como nss-pam-ldapd) y configurar nslcd para usar el servidor LDAP de identidad. Luego configúrelo auth_provider=ldapy apúntelo al servidor LDAP de autenticación.
No es bonito y tendrías dos demonios LDAP ejecutándose, pero no se me ocurre otra forma de resolver el problema.