CentOS 7에서 SSSD를 사용하여 LDAP 인증을 설정하려고 합니다.
두 개의 LDAP 서버를 사용하는 방식으로 SSSD를 설정할 수 있습니까? 하나의 LDAP 서버는 인증(기본적으로 비밀번호로 인증)에만 사용되고 다른 LDAP 서버는 식별 및 사용자의 모든 속성을 가져오는 데 사용됩니다. (homeDirectory, 해당 LDAP 서버에만 정의된 추가 LDAP 속성)?
사용자는 두 서버 모두에서 정의됩니다(동일한 UID이지만 다른 기반).
답변1
장기적으로는 기지를 병합하는 방법을 찾는 것이 더 나을 것입니다.
하지만,SASL Pass-Through Authentication당신을위한 옵션이 될 수 있습니다. 기본 인증을 Kerberos와 같은 것으로 전달하기 위해 이미 이를 사용하고 있지 않는 한, 이 경우 항목이 정적으로 유지될 가능성이 높기 때문에 항목을 복제하는 것이 가장 좋습니다. userPassword인증에 다른 기반을 사용할 수 있어야 합니다.
답변2
아니요, 추악한 해킹을 제외하고는 이것이 가능하지 않다고 생각합니다. sssd가 지원하는 유일한 특수 사례는 비밀번호 변경 작업(사용 ldap_chpass_uri)을 위한 다른 LDAP 서버입니다.
그러나 당신이 할 수 있는 일은 id_provider=proxynslcd(일명 nss-pam-ldapd)를 사용하도록 구성하고 ID LDAP 서버를 사용하도록 nslcd를 구성하는 것입니다. 그런 다음 인증 LDAP 서버를 구성 auth_provider=ldap하고 지정합니다.
보기에는 좋지 않고 두 개의 LDAP 데몬이 실행되고 있지만 문제를 해결하는 다른 방법은 생각나지 않습니다.