Я начал новую работу в доме, где у них есть удивительно непослушное лоскутное одеяло из Linux, xBSD и OpenSolaris. Каждый ящик имеет свою собственную авторизацию пользователя с использованием локального / etc / passwd и т. Д. Пользователи / группы имеют разные uid / gid на каждой машине, и каждая машина имеет свое собственное / home / tree. (нет центрального NAS / домов) Моя задача - получить все в каталог LDAP и использовать его для авторизации. Как заставить LDAP работать с разными идентификаторами uid / gid?
Спасибо.
В конечном итоге вы исправляете uid / gids, чтобы объединить их.
Или как-то их консолидируете. Вы можете использовать какой-либо метакаталог, в котором хранятся uid системы для каждого объекта пользователя. (То же для гид).
Таким образом, у вас могут быть все значения для объекта, но вам понадобится способ различать их для привязок LDAP к метакаталогу. Возможно, с помощью другого атрибута uid для каждой системы (что стало бы громоздким), а затем настроить каждую систему на использование своего собственного атрибута uid вместо uid по умолчанию.
Основываясь на комментарии и размышляя над этим, я мог бы подумать, что это, возможно, то, что вы могли бы сделать без системы стиля IDM, а лучше просто установить выбранный сервер LDAP. Затем экспортируйте данные из всех источников и объедините их. Т.е. Для каждого пользователя geoffc найдите все uid в источниках данных. Затем добавьте SystemAuid = 123, SystemBuid = 999, SystemCuid = 767543 и так далее в файл LDIF.
Затем настройте SystemA на использование SystemAuid = вместо uid = в конфигурации pam / ldap. И так далее.
Та же основная идея для групп. Система в стиле IDM будет настроена так, чтобы обрабатывать данные самостоятельно как часть основных процессов и поддерживать их по мере того, как в каждой системе происходят изменения с течением времени.
Вам нужно будет добавить процесс для добавления новых пользователей в ваш LDAP. В этом случае вы должны выбрать следующий доступный свободный uid и назначить его всем значениям для этого пользователя, поэтому в дальнейшем вы откажетесь от нескольких значений.