Я настраиваю сервер Debian в своей компании, где пользователи управляются в Active Directory.
Я хотел бы аутентифицировать пользователей с помощью AD, но я думаю, что было бы лучше, если это возможно, иметь локальный OpenLDAP для аутентификации в случае отказа сервера или сети AD.
Я видел учебники по настройке сквозной аутентификации
но он не говорит, что произойдет, если сервер AD недоступен. AFAIU, запрос не выполняется.
Кто-то здесь предлагает использовать Механизм кэширования прокси OpenLDAP установка высокого TTL.
Должен ли я вместо этого реплицировать весь каталог? Я не возражаю, если новые пользователи не могут быть аутентифицированы. Я был бы счастлив, если бы уже локально известные пользователи могли быть аутентифицированы с использованием последнего принятого пароля. Так что самое простое решение - мое любимое.
Я искал по множеству терминов, включая кеш / кеширование, реплику и т. Д. Я не нашел ни одного шага «возьми-под рукой-и-покажи-мне-как-сделать-это-на-debian-jessie» пошаговое решение, так что может оказаться, что то, что я считал относительно стандартным, на самом деле немного сложно.
Я не уверен, спрашиваете ли вы в целом, как сделать так, чтобы сервер Debian выполнял аутентификацию / авторизацию в Active Directory ... или как обеспечить высокую доступность существующей аутентификации / авторизации. В этом ответе я предполагаю последнее.
Короткий ответ заключается в том, что установка OpenLDAP в качестве уровня кэширования для Active Directory - это глупо. AD - это реплицируемая база данных с несколькими главными серверами. Если вам нужна высокая доступность, просто выберите другой. Если ваши контроллеры домена находятся в другом сегменте сети, к которому вы беспокоитесь по поводу потери связи, вызовите контроллер домена (или два) в сегменте локальной сети и настройте необходимую топологию сайта в AD.
Локальный сервер OpenLDAP, вероятно, не лучший способ справиться с описанной ситуацией. Я думаю, тебе стоит хорошенько взглянуть на sssd. В нем должно быть все необходимое.