Я пытаюсь настроить аутентификацию LDAP с помощью SSSD на CentOS 7.
Можно ли настроить SSSD таким образом, чтобы он использовал два сервера LDAP: один сервер LDAP используется только для аутентификации (в основном только для аутентификации с помощью пароля), а другой сервер LDAP используется для идентификации и получения всех атрибутов пользователя (homeDirectory, дополнительные атрибуты LDAP определены только на этом сервере LDAP)?
Пользователи определены на обоих серверах (одинаковый uid, но разная база)
Нет, я не думаю, что это возможно, кроме уродливого взлома. Единственный особый случай, который поддерживает sssd, - это другой сервер LDAP для операций смены пароля (с ldap_chpass_uri).
Но вы могли бы использовать id_provider=proxy, настройте его для использования nslcd (также известного как nss-pam-ldapd) и настройте nslcd на использование идентификационного LDAP-сервера. Затем настройте auth_provider=ldap и укажите его на сервер аутентификации LDAP.
Это некрасиво, и у вас будут работать два демона LDAP, но я не могу придумать другого способа решения проблемы.
В конечном итоге вам лучше найти способ объединить свои базы.
Тем не мение, SASL Pass-Through Authentication может быть вариантом для вас. Если вы уже не используете его для передачи вашей основной аутентификации чему-то вроде Kerberos, в этом случае вам лучше всего будет реплицировать userPassword запись, поскольку она, вероятно, останется статической, она должна позволить вам использовать другую базу для аутентификации.