현재 winbind를 사용하고 있지만 pam_ldap으로 전환하려고 합니다.
pam_ldap에는 winbind처럼 숫자 풀에서 uid를 즉석에서 가져와 사용 중에 로컬로 캐시하는 기능이 있습니까?
문서에는 이러한 기능에 대한 언급이 없지만 LDAP 저장소의 모든 사용자에게 unix uid/gid 속성을 추가하는 것은 바람직하지 않습니다(AD 및 주로 Windows 사용자).
답변1
당신이 찾고 있는 것은 'nscd'(네임 서버 캐싱 데몬)입니다. 이는 glibc 트리 소스의 일부이며 대부분의 시스템에서 표준 부분입니다. 대부분의 경우 패키지를 설치하고 데몬을 시작하기만 하면 됩니다. 데몬은 모든 것을 캐시하고 pam_ldap과 함께 작동하도록 미리 구성되어 있습니다. Red Hat/CentOS 시스템에서는 'authconfig'를 실행하면 모든 작업을 수행할 수 있는 확인란 옵션이 있습니다. LDAP 및 캐싱을 활성화하면 구성이 작성됩니다.
이제 즉각적인 uid/gid 개념에 대해 내 생각에 당신이 찾고 있는 것은 pam_ldap 옵션 'pam_login_attribute'(기본값: uid)와 'pam_member_attribute'(아마도 'pam_filter')입니다. 'pam_login_attribute'는 조정이 필요한 경우 로그온 이름에 대한 조회를 제어하는 것입니다.