在我的大學裡,有一個由員工管理的 LDAP 伺服器。我們可以在我們的機器上使用這個 LDAP 伺服器,但不能修改屬性(例如:使用者登入 shell)。
我們想要修改這些屬性,因此我們考慮設定一台 LDAP 伺服器作為另一台伺服器的代理:我們將在 LDAP 伺服器上設定我們需要的任何屬性,然後使用工作人員提供的屬性驗證。
有什麼辦法可以做到這一點嗎?
答案1
正確答案是replication。安排 LDAP 伺服器的管理員將其內容複製到您的本機 LDAP 伺服器。他們可能會拒絕,因為如果複製不是multi-master雙向的,資料庫可能會出現分歧。如果失敗,請設定您自己的 LDAP 伺服器並根據需要填充數據,然後設定您的 LDAP 用戶端以使用新伺服器。
答案2
這就是 OpenLDAP 的覆蓋層slapo-半透明被設計用於。基本上,您在 LDAP 代理程式後端維護本機資料庫,以擴充從公司的 LDAP 伺服器檢索的內容。
也可以看看:OpenLDAP 管理指南 -- 半透明代理
對於簡單的情況,例如主目錄我建議看看 NSS/PAM 客戶喜歡什麼固態硬碟和nss-pam-ldapd提供特殊屬性映射。這可能已經足夠了。