Какой наиболее очевидный способ достижения следующего: сайт имеет работающую инфраструктуру AD, и некоторые части инфраструктуры представляют собой тесно связанные машины GNU/Linux, где люди из подразделения AD ou=linux-users,dc=example,dc=comдолжны иметь возможность входить в часть инфраструктуры Linux, используя свои учетные данные AD, но без использования DC в стеке PAM машины Linux, т. е. должна быть какая-то синхронизация плюс дополнение атрибутами POSIX (uid,gid,homedir,password) от AD до slapd. Slapd на машинах Linux — это OpenLDAP, схема AD взята из Windows 2003 без атрибутов POSIX.
решение1
Коннектор синхронизации Ldap (LSC)может использоваться для настройки непрерывной синхронизации из AD в сервер OpenLDAP, при этом можно добавлять дополнительные атрибуты, генерируемые по вашему желанию.
Однако это не позволит напрямую использовать учетные данные AD, если только вы не настроите OpenLDAP для пересылки запросов BIND на серверы AD... но тогда вы зависите от доступности инфраструктуры AD.
Полагаться на учетные данные в AD сложно, потому что вам нужно либо иметь учетные данные в открытом виде в другом месте, либо полагаться на использование AD для привязок, либо настроить синхронизацию паролей. ПроверьтеПараметры синхронизации паролей Active Directory.
Одним из вариантов, не описанных на этой странице, является экспорт списка хешированных паролей с сервера AD, но это разовая операция, а не непрерывная синхронизация.
решение2
Есть ли конкретная причина, по которой вы не хотите, чтобы серверы AD были в стеке PAM? Лучшим решением здесь будет добавить атрибуты POSIX/RFC2307 к вашим пользователям AD и указать pam_ldap/nss_ldap (или nss_ldapd) на серверах AD.
Если у вас есть проблемы с сетевой безопасностью или нагрузкой, которые не позволяют вам напрямую запрашивать AD, вы можете использовать возможности прокси-сервера/кэширования OpenLDAP или развернуть ограниченные подчиненные серверы AD для обслуживания хостов Linux.
Я бы не советовал иметь "дополненные" учетные записи -- это можно сделать с помощью некоторых довольно грязных хаков, но по моему опыту, это слишком хрупко, чтобы доверять в производственной среде. Это также нарушает парадигму "одного авторитетного источника": если AD является вашим авторитетным хранилищем учетных записей, атрибуты POSIX должны быть добавлены и управляться там.