我正在探索使用 LDAP 在某些 RHEL 6.4 機器上對使用者進行身份驗證的想法。我將 sssd 與 LDAP 提供者一起使用,並將 nsswitch.conf 檔案設定為對 passwd/shadow/group 使用 sss。
如何進行設定以便系統使用者(不是來自 LDAP)可以與 LDAP 使用者位於同一群組?例如,我可能希望一些 LDAP 使用者位於「svn」群組中,以便他們可以存取 SVN 儲存庫。但我還需要 SVN 伺服器作為該群組中的使用者運行,並且該使用者不是來自 LDAP。這可能嗎?
答案1
我不知道 SSSD,但如果您的 LDAP 資料庫正確相容於 rfc2307bis-02,那麼您應該能夠將 member 和 memberUid 屬性值新增至 LDAP 資料庫中的任何群組。這些member值用於基於 dn 的 LDAP 用戶,memberUid這些值用於本機用戶,當然他們沒有 dns。例如,以下內容應將名為 fred 的本機使用者和名為 ethel 的 LDAP 使用者新增至 vipb 群組:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
快取會妨礙,所以:
$ nscd --invalidate=group
然後您可以檢查群組成員資格:
$ id -nG fred
$ id -nG ethel