В настоящее время использую winbind, но планирую перейти на pam_ldap.
Имеет ли pam_ldap возможность получать uid «на лету», как это делает winbind (из пула чисел), и кэшировать его локально во время использования?
В документации такая возможность не упоминается, но добавление атрибутов unix uid/gid для каждого пользователя в репозитории ldap нежелательно (так как это AD и, в основном, пользователи Windows)
решение1
То, что вы ищете, это 'nscd' (сервер имен кэширования демона), это часть исходного кода дерева glibc и стандартная часть в большинстве систем. Во многих случаях все, что вам нужно сделать, это установить пакет и запустить демон, он предварительно настроен на кэширование всего и работу с pam_ldap. В системе Red Hat/CentOS вы можете запустить 'authconfig' и увидеть, что есть опция-флажок, чтобы сделать все это за вас - включить LDAP и кэширование, он запишет ваши конфигурации.
Теперь, для вашей концепции uid/gid «на лету», я думаю, вы ищете опцию pam_ldap «pam_login_attribute» (по умолчанию: uid) и «pam_member_attribute», возможно, также «pam_filter». «pam_login_attribute» — это то, что управляет поиском по имени входа, если вам нужно его настроить.