Мы только что внедрили решение LDAP для нашей лаборатории. На всех клиентских машинах LDAP все еще есть files ldap (или files sss) в их nsswitch.conf на данный момент (сначала локальная аутентификация), и многие локальные учетные записи уже перенесены в каталог LDAP.
Пока мы не перейдем на аутентификацию только через LDAP, есть ли способ, чтобы когда пользователь меняет свой пароль, он может быть обновлен как на сервере LDAP, так и локально (если у пользователя есть локальная учетная запись)?
Например: user1 имеет локальную учетную запись на server1 и учетная запись на LDAP. Если user1 бежит passwd, есть ли способ обновить пароль как локально, так и на LDAP?
Спасибо за отзывы!
Я предполагаю, что вы здесь говорите о клиентах Linux LDAP.
Я не думаю, что есть собственная команда для их синхронизации (вы можете написать сценарий для периодической синхронизации, но это может быть беспорядочно, и вам нужно будет использовать тот же механизм одностороннего хеширования). Я бы посоветовал создать сценарий-оболочку вокруг реального passwd команда и ldappasswd команда, которая берет пароль пользователя из стандартного ввода (без echo'ing it), а затем запустить соответствующие команды, используя предоставленное ими значение.
Вы даже можете назвать команду passwd который расположен ранее в $PATH или настроить псевдоним, который применяется ко всем профилям оболочки пользователей.