Разделенная проверка подлинности и поиск NSS для пользователей и групп на разных серверах

Это сложно. Вам нужен модуль PAM, который выполняет аутентификацию LDAP, но не используйте ту же конфигурацию, что и ваш плагин LDAP для NSS. Это проблематично, потому что большинство дистрибутивов предполагают, что вы используете интегрированное решение LDAP.

• PADL pam_ldap модуль выглядит так, как будто его можно настроить для использования другого файла конфигурации, чем тот, который используется плагином PADL LDAP для NSS.
  • Имейте в виду, что реализация LDAP для NSS в PADL не включает такого демона, как nscld и считается неполноценным по этой причине.
  • Если ваш дистрибутив позволяет вам использовать одновременно nslcd и pam_ldap PADL, вы можете попробовать это. (маловероятно) Пакеты обычно исключают друг друга, потому что они предоставляют аналогичные функции. Если плагин NSS не упакован отдельно, возникнет конфликт файлов. (libnss_ldap.so)
• Взгляни на pam_sssd, если его поставляет ваш дистрибутив. я считать их можно было бы использовать рядом, но это зависит от sssd и я не настраивал это раньше.
• Пользовательская компиляция реализации pam_ldap и настройка ее для использования отдельного файла конфигурации. Вы сами по себе. Следует отметить, что pam_ldap PADL выглядит так, как будто он может быть построен отдельно от его библиотеки NSS.
• Если у вас есть реализация Kerberos (например, Active Directory), вы можете использовать pam_krb5.so для аутентификации и подключения NSS к LDAP ... но имейте в виду, что Kerberos требует своего собственного набора знаний для правильной настройки.

Несмотря ни на что, это займет много времени. Возможно, вам будет лучше реплицировать необходимые данные между двумя серверами LDAP, чтобы вы могли указать свой сервер на одном.