LDAP 인증 및 기본 그룹

LDAP 인증 및 기본 그룹

sssd를 통해 LDAP 인증을 사용하는 RHEL 7.4 서버가 여러 대 있습니다. 편리하게도 우리 대학의 LDAP 환경에는 모든 사람에게 고유한 UIDumber 속성이 있습니다. 내 sssd.conf는 이 질문의 끝에 있습니다.

이에 대한 내 질문은 다음과 같습니다.

  • 중앙 IT는 사용자 이름과 비밀번호가 동기화된 Active Directory와 "레거시" LDAP라는 두 가지 LDAP 환경을 실행합니다. LDAP 환경에서는 그룹을 생성할 수 없지만할 수 있는광고에서. "LDAP를 통해 사용자를 인증하지만 사용자 이름의 sAMAccountName은 다른 LDAP 서버의 memberOf와 일치해야 합니다"라고 말하는 방법이 있습니까? 현재로서는 사용자가 많을 때 ldap_user_search_base가 강력한 필터로 바뀔 수 있습니다.

  • 또한, 사용자 그룹을 자동으로 생성할 수 있는지 알고 싶습니다. 즉, UID 12345를 가진 사용자 jsmith가 로그인하면 GID 12345가 준비된 그룹 jsmith도 있습니다.

감사해요!

[domain/default]
autofs_provider = ldap
cache_credentials = True
ldap_search_base = dc=example,dc=edu
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldap.example.edu:636
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=proxy,ou=proxy-users,dc=example,dc=edu
ldap_default_authtok = lamepassword
ldap_user_object_class = exampleEduPerson
ldap_user_name = uid
ldap_user_uid_number = exampleEduUIDNumber
ldap_user_gid_number = exampleEduGIDNumber
ldap_user_gecos = exampleEduGECOS
ldap_user_uuid = exampleEduUID
ldap_id_mapping = False
override_shell = /bin/bash
override_homedir = /home/%u
debug_level = 5
ldap_user_search_base = uid=jsmith,ou=People,dc=example,dc=edu??
[sssd]
services = nss, pam, autofs
config_file_version = 2
domains = default
[nss]
homedir_substring = /home
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]

답변1

한 사용자에 대해 다양한 소스에서 정보를 수집할 수 있도록 SSSD를 구성하는 방법을 모르겠습니다. 이것이 가능하더라도 불일치를 피하기 위해 그렇게 하지 않는 것이 좋습니다.

LDAP 액세스에 대한 나의 제안:

  • 하나의 디렉터리를 기본 소스로 사용합니다. AD가 바로 여기에 있을 수 있습니다.
  • 이것이 가능하지 않은 경우 필요한 모든 정보가 LDAP에 있는지 확인하십시오. 디자인 결정에 영향을 미치는 경우 다른 동기화 도구 사용을 고려할 수 있습니다. (저는 Univention Corporate Server를 LDAP 인스턴스로 사용하고 포함된 커넥터를 사용하여 AD와 동기화한 경험이 있습니다.)
  • 이것이 가능하지 않은 경우 전용 서비스(세 번째 LDAP?)를 추가하고 다양한 소스에서 필요한 정보를 수집하는 일부 스크립트를 추가해야 할 수도 있습니다.

"사용자 그룹별"에 대한 나의 제안: 그러한 그룹이 정말로 필요한 경우 LDAP에서 수행되어야 합니다. 그렇지 않으면 그룹이 다른 서버에서 동일한 posix ID를 가지고 있는지 확인할 수 없습니다.

관련 정보