Я изучаю идею аутентификации пользователей на некоторых устройствах RHEL 6.4 с использованием LDAP. Я использую sssd с поставщиком LDAP и устанавливаю файл nsswitch.conf на использование sss для passwd / shadow / group.
Как мне настроить так, чтобы системные пользователи (которые не поступают из LDAP) могли быть в тех же группах, что и пользователи LDAP? Например, я могу захотеть, чтобы некоторые пользователи LDAP были в группе «svn», чтобы у них был доступ к репозиторию SVN. Но мне также нужно, чтобы сервер SVN работал как пользователь в этой группе, и этот пользователь не приходит из LDAP. Это возможно?
Я не знаю SSSD, но если ваша база данных LDAP должным образом совместима с rfc2307bis-02, вы сможете добавлять значения атрибутов member и memberUid в любую группу в базе данных LDAP. В member значения используются для пользователей LDAP на основе dn, memberUid значения предназначены для локальных пользователей, у которых, конечно, нет DNS. Например, следующее должно добавить локального пользователя с именем fred и пользователя LDAP с именем ethel в группу vipb:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
Кеширование будет мешать, поэтому:
$ nscd --invalidate=group
Затем вы можете проверить членство в группе:
$ id -nG fred
$ id -nG ethel