10000 から始まる LDAP ユーザーとグループ ID で openLDAP サーバーを構成しました。私のクライアントはLDAPサーバーに正常にバインドされましたldapsearch。また、getent passwd|groupローカルおよびリモート(LDAP)ユーザーグループの完全なリストが返されます。クライアントの私のローカルユーザーjohndoe(uid = 1000)もLDAPディレクトリにuid 10000として存在します。重複するローカルユーザーとLDAPユーザー(ユーザー名のみ共通)はパスワードが異なります。
シーン1:私のLinux Mint 17クライアントでCinnamonデスクトップを介してjohndoeとしてログインすると、id -Gコマンドid -G <user>は別のグループセットを返します。
$ whoami
johndoe
:~$ id -G
1000 4 7 24 27 30 33 46 100 112 118 119
:~$ id -G johndoe
1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10005 10006 10007 10008 10004 10009 10010
gids> 10000はLDAPディレクトリにあり、ユーザー名が明示的に指定されている場合にのみ表示されます。
シナリオ 2:ユーザーをリモートjohndoeアカウントに切り替えた後(LDAPパスワードで認証)、有効IDと実際のIDが一致します。
:~$ whoami
johndoe
:~$ su johndoe
Password:
:~$ whoami
johndoe
:~$ id -G
1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10004 10005 10006 10007 10008 10009 10010
:~$ id -G johndoe
1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10005 10006 10007 10008 10004 10009 10010
最初のケースでは、私のCIFSネットワーク共有(LDAPユーザーとグループのみにアクセスするように構成されています)を読み取ることはできません。ただし、2番目のシナリオに示すように、ユーザーを切り替えた後は、元の意図したとおりに同じ共有にアクセスできます。
私はLDAPに初めて触れたので、この記事は私の無知をはっきりと示しています。つまり、ローカルユーザー名とリモートユーザー名を重複させるベストプラクティスは何ですか(たとえば、別のuidを維持し、パスワードを結合するなど)デフォルトでLDAPグループを使用するようにクライアントを構成する方法は何ですか? ? 2回目のログインを避けていますか?
FWIW、クライアントの /etc/nsswitch.conf には以下が含まれます。
passwd: files ldap
group: files ldap
shadow: files ldap
クライアントカーネル:
:~$ uname -a
Linux my-client 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux