LDAP를 사용하여 일부 RHEL 6.4 상자에서 사용자를 인증하는 아이디어를 탐색 중입니다. 저는 LDAP 공급자와 함께 sssd를 사용하고 있으며 passwd/shadow/group에 sss를 사용하도록 nsswitch.conf 파일을 설정하고 있습니다.
시스템 사용자(LDAP에서 제공되지 않음)가 LDAP 사용자와 동일한 그룹에 속할 수 있도록 설정하려면 어떻게 해야 합니까? 예를 들어 일부 LDAP 사용자가 "svn" 그룹에 속해 SVN 저장소에 액세스할 수 있기를 원할 수 있습니다. 그러나 해당 그룹의 사용자로 실행하려면 SVN 서버도 필요하며 해당 사용자는 LDAP에서 온 것이 아닙니다. 이것이 가능한가?
답변1
SSSD는 모르지만 LDAP 데이터베이스가 rfc2307bis-02와 제대로 호환된다면 LDAP 데이터베이스의 모든 그룹에 member 및 memberUid 속성 값을 모두 추가할 수 있어야 합니다. 값 member은 DNS 기반 LDAP 사용자에게 사용되며, memberUid값은 물론 DNS가 없는 로컬 사용자를 위한 것입니다. 예를 들어, 다음은 fred라는 로컬 사용자와 ethel이라는 LDAP 사용자를 vipb 그룹에 추가해야 합니다.
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
캐싱이 방해가 되므로 다음과 같습니다.
$ nscd --invalidate=group
그런 다음 그룹 멤버십을 확인할 수 있습니다.
$ id -nG fred
$ id -nG ethel