Estou explorando a ideia de autenticar usuários em algumas caixas RHEL 6.4 usando LDAP. Estou usando sssd com um provedor LDAP e configurando o arquivo nsswitch.conf para usar sss para passwd/shadow/group.
Como posso configurar as coisas para que os usuários do sistema (que não vêm do LDAP) possam estar nos mesmos grupos que os usuários do LDAP? Por exemplo, posso querer que alguns usuários LDAP estejam em um grupo "svn", para que tenham acesso a um repositório SVN. Mas também preciso que o servidor SVN seja executado como um usuário nesse grupo, e esse usuário não venha do LDAP. Isso é possível?
Responder1
Não conheço o SSSD, mas se o seu banco de dados LDAP for compatível com rfc2307bis-02, você poderá adicionar valores de atributo member e memberUid a qualquer grupo no banco de dados LDAP. Os membervalores são usados para usuários LDAP baseados em DNS, memberUidos valores são para usuários locais, que obviamente não possuem DNS. Por exemplo, o seguinte deve adicionar um usuário local chamado fred e um usuário LDAP chamado ethel ao grupo vipb:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
O cache vai atrapalhar, então:
$ nscd --invalidate=group
Você pode então verificar a associação ao grupo:
$ id -nG fred
$ id -nG ethel