В настоящее время используется winbind, но хочет перейти на pam_ldap.
Имеет ли pam_ldap возможность принимать uid на лету, как это делает winbind (из пула чисел), и кэшировать его локально во время использования?
В документации не упоминается такая возможность, но добавление атрибутов unix uid / gid для каждого пользователя в репозитории ldap нежелательно (как его AD и в основном пользователи Windows)
Вам нужен 'nscd' (демон кэширования сервера имен), он является частью исходного кода дерева glibc и является стандартной частью большинства систем. Во многих случаях все, что вам нужно сделать, это установить пакет и запустить демон, он предварительно настроен для кэширования всего и работы с pam_ldap. В системе Red Hat / CentOS вы можете запустить authconfig и увидеть, что есть опция флажка, чтобы сделать все это за вас - включить LDAP и кеширование, он запишет ваши конфигурации.
Теперь, для вашей концепции uid / gid на лету, я думаю, вы ищете параметр pam_ldap 'pam_login_attribute' (по умолчанию: uid) и 'pam_member_attribute', возможно, также 'pam_filter'. «pam_login_attribute» - это то, что контролирует поиск по их имени для входа, если вам нужно его настроить.