LDAP認証と基本グループ

LDAP認証と基本グループ

sssd 経由で LDAP 認証を使用する複数の RHEL 7.4 サーバーがあります。便利なことに、私たちの大学のLDAP環境には、すべての人に固有のUIDumber属性があります。私のsssd.confはこの質問の終わりにあります。

これに関する私の質問は次のとおりです。

  • 中央ITは、ユーザー名とパスワードが同期されたActive Directoryと「レガシー」LDAPという2つのLDAP環境を実行します。 LDAP環境ではグループを作成できませんが、できる広告から。 「LDAPを介してユーザーを認証しますが、ユーザー名のsAMAccountNameは他のLDAPサーバーのmemberOfと一致する必要があります」と言う方法はありますか?現時点では、ユーザーが多いと、ldap_user_search_baseが強力なフィルタに変わることがあります。

  • また、ユーザーグループを自動的に作成できるかどうかを知りたいです。つまり、UID 12345を持つユーザーjsmithがログインすると、GID 12345が準備されたグループjsmithもあります。

ありがとうございます!

[domain/default]
autofs_provider = ldap
cache_credentials = True
ldap_search_base = dc=example,dc=edu
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldap.example.edu:636
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=proxy,ou=proxy-users,dc=example,dc=edu
ldap_default_authtok = lamepassword
ldap_user_object_class = exampleEduPerson
ldap_user_name = uid
ldap_user_uid_number = exampleEduUIDNumber
ldap_user_gid_number = exampleEduGIDNumber
ldap_user_gecos = exampleEduGECOS
ldap_user_uuid = exampleEduUID
ldap_id_mapping = False
override_shell = /bin/bash
override_homedir = /home/%u
debug_level = 5
ldap_user_search_base = uid=jsmith,ou=People,dc=example,dc=edu??
[sssd]
services = nss, pam, autofs
config_file_version = 2
domains = default
[nss]
homedir_substring = /home
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]

ベストアンサー1

あるユーザーに対してさまざまなソースから情報を収集できるようにSSSDを構成する方法がわかりません。これが可能であっても、矛盾を避けるためにそうしないことをお勧めします。

LDAPアクセスに対する私の提案:

  • 1つのディレクトリをデフォルトソースとして使用します。 ADはここにあります。
  • これが不可能な場合は、必要なすべての情報がLDAPにあることを確認してください。デザインの決定に影響を与える場合は、他の同期ツールの使用を検討してください。 (私はUnivention Corporate ServerをLDAPインスタンスとして使用し、付属のコネクタを使用してADと同期した経験があります。)
  • これが不可能な場合は、専用サービス(3番目のLDAP?)を追加し、さまざまなソースから必要な情報を収集するいくつかのスクリプトを追加する必要があります。

「ユーザーグループ別」の私の提案:そのようなグループが本当に必要な場合は、LDAPで行う必要があります。そうしないと、グループが別のサーバーで同じposix IDを持っていることを確認できません。

おすすめ記事