У меня есть задача реализовать службу LDAP для типичных случаев использования: аутентификация пользователей, хранение дополнительной информации о пользователях, хранение информации на машинах и т. Д.
В настоящее время у нас есть работающая система NIS в сочетании с NFS для рабочих станций Linux. Машины с Windows не участвуют, и это одна из причин перехода на LDAP, наряду с множеством других систем, начиная с электронной почты.
Однако главная проблема заключается в том, что мы являемся частью гораздо более крупной системы, которая пока останется с NIS. Некоторые пользователи, не входящие в наш отдел, работают с нами, и поэтому им необходимо войти в нашу систему. Кроме того, наши пользователи могут входить в другие системы. Однако это индивидуальные ситуации: мы явно приглашаем кого-то в нашу систему или наоборот.
Поскольку я только начинаю с этого, не могли бы вы дать мне несколько советов:
files ldap nis
в nsswitch.conf)Я знаю о Программное обеспечение PADL. Однако мы предпочитаем использовать программное обеспечение с открытым исходным кодом. Фирменные решения особенно неприемлемы для другой стороны системы.
Изменить: дополнительное ограничение! Извините, я забыл об этом прямо упомянуть. Одним из важных аспектов является то, что идентификаторы пользователей находятся в заданном диапазоне, поэтому они не конфликтуют с идентификаторами из других систем, включенных в NIS. Я не знаю, как генерируются идентификаторы пользователей с помощью LDAP, возможно, вы также дадите мне представление об этом. Спасибо!
Я предлагаю вам изучить PAM со стороны Linux. Там вы можете определять аутентификацию и авторизацию в цепочках со всякими уловками. Ex. сначала попытайтесь войти в систему, используя локальный / etc / passwd, затем LDAP и, наконец, NIS. Или наоборот. Затем вы можете подключить SSH, GDM, Apache2 и т. Д., Чтобы использовать это.
Теоретически проблем с использованием как NIS, так и LDAP для NSS и PAM быть не должно. Вам нужно будет подумать, какая служба используется в первую очередь, чтобы иметь дело с перекрывающимися именами пользователей. Это должен быть случай настройки NSS, как вы предложили. PAM будет немного сложнее. Я считаю, что с NIS аутентификация просто возвращается к использованию модуля unix pam.