Я изучаю идею аутентификации пользователей на некоторых ящиках RHEL 6.4 с использованием LDAP. Я использую sssd с провайдером LDAP и настраиваю файл nsswitch.conf на использование sss для passwd/shadow/group.
Как настроить так, чтобы системные пользователи (которые не из LDAP) могли быть в тех же группах, что и пользователи LDAP? Например, я могу захотеть, чтобы некоторые пользователи LDAP были в группе "svn", чтобы у них был доступ к репозиторию SVN. Но мне также нужно, чтобы сервер SVN работал как пользователь в этой группе, и этот пользователь не из LDAP. Возможно ли это?
решение1
Я не знаю SSSD, но если ваша база данных LDAP должным образом соответствует rfc2307bis-02, то вы должны иметь возможность добавлять значения атрибутов member и memberUid в любую группу в базе данных LDAP. Значения memberиспользуются для пользователей LDAP на основе dn, memberUidзначения предназначены для локальных пользователей, у которых, конечно, нет dns. Например, следующее должно добавить локального пользователя с именем fred и пользователя LDAP с именем ethel в группу vipb:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
Кэширование будет мешать, поэтому:
$ nscd --invalidate=group
Затем вы можете проверить членство в группе:
$ id -nG fred
$ id -nG ethel