Estou tentando configurar a autenticação LDAP usando SSSD no CentOS 7.
É possível configurar o SSSD de forma que use dois servidores LDAP: um servidor LDAP é usado apenas para autenticação (basicamente apenas para autenticar com a senha) e outro servidor LDAP é usado para identificação e obtenção de todos os atributos de um usuário (homeDirectory, atributos LDAP adicionais definidos apenas nesse servidor LDAP)?
Os usuários são definidos em ambos os servidores (mesmo uid, mas base diferente)
Responder1
No longo prazo, seria melhor encontrar uma maneira de fundir suas bases.
No entanto,SASL Pass-Through Authenticationpode ser uma opção para você. A menos que você já esteja usando-o para passar sua autenticação principal para algo como Kerberos, nesse caso, seria melhor replicar a userPasswordentrada, pois é provável que ela permaneça estática, deve permitir que você use a outra base para autenticação.
Responder2
Não, não acho que isso seja possível, exceto com um hack feio. O único caso especial que o sssd suporta é um servidor LDAP diferente para operações de alteração de senha (com ldap_chpass_uri).
Mas o que você pode fazer é usar id_provider=proxy, configurá-lo para usar o nslcd (também conhecido como nss-pam-ldapd) e configurar o nslcd para usar o servidor LDAP de identidade. Em seguida, configure auth_provider=ldape aponte para o servidor LDAP de autenticação.
Não é bonito e você teria dois daemons LDAP em execução, mas não consigo pensar em outra maneira de resolver o problema.