У меня есть несколько серверов Linux, использующих SSSD, интегрированный с Microsoft AD для аутентификации пользователей AD.
Группы AD управляются другим отделом, и я хотел бы создать другой каталог для управления своими собственными группами, но я не могу просто выйти из домена.
Итак, я подумываю об установке нового сервера OpenLDAP или IPA для создания моих собственных групп и создания конфигурации на моих серверах Linux, чтобы они одновременно извлекали идентификаторы / группы из AD и из моего LDAP. Таким образом, если пользователь существует в обоих, список групп, к которому принадлежит пользователь, будет надмножеством, состоящим из обоих списков групп.
например - Допустим, у меня есть пользователь Джон, который существует в AD, и он включен в группы AD: «group1» и «group2». Я бы создал пользователя (тот же uid) в моем собственном каталоге и включил бы его в «group3». Поэтому, когда пользователь входит на мой сервер Linux, он будет в «group1», «group2» и «group3».
Как это возможно?
Заранее спасибо.
В конце концов я сделал это, используя sssd для получения идентификаторов пользователей из OpenLDAP и nslcd для получения дополнительных групп из AD. Работает нормально.