¿Cómo autenticar usuarios de Linux contra dos directorios diferentes simultáneamente?

0

Tengo algunos servidores Linux que usan SSSD integrado con Microsoft AD para autenticar a los usuarios de AD.

Los grupos de AD son administrados por un departamento diferente y me gustaría configurar otro directorio para administrar mis propios grupos, pero no puedo simplemente salir del dominio.

Entonces, estoy pensando en instalar un nuevo servidor OpenLDAP o IPA para crear mis propios grupos, y crear una configuración en mis servidores Linux, para que puedan extraer identidades / grupos de AD y de mi LDAP al mismo tiempo. Entonces, si un usuario existe en ambos, la lista de grupos a la que pertenece el usuario sería un superconjunto compuesto por ambas listas de grupos.

por ejemplo: supongamos que tengo un usuario John que existe en AD y está incluido en los grupos de AD: "group1" y "group2". Crearía el usuario (mismo uid) en mi propio directorio y lo incluiría en "group3". Entonces, cuando el usuario inicia sesión en mi servidor Linux, estaría en "grupo1", "grupo2" y "grupo3".

¿Cómo sería eso posible?

Gracias por adelantado.

Eloy Acosta
fuente
Publicación
cruzada

Respuestas:

0

La recuperación de la información del usuario en realidad está separada de la autenticación: es manejada por nsswitch, no por PAM.

De cualquier manera, lo primero que debe intentar sería configurar dos dominios en sssd (un AD, un LDAP) y ver si sssd combina los resultados de búsqueda de ambos.

Si eso no funciona, configure nslcd u otro cliente LDAP alternativo mientras mantiene sssd para AD, y enumere ambos módulos en el sistema nsswitch.conf. Los resultados de diferentes módulos generalmente se combinan (por ejemplo, / etc / group puede aumentar los usuarios de AD).

Gravedad
fuente
Muchas gracias! Eso tiene mucho sentido y definitivamente vale la pena intentarlo. Solo tengo una pregunta, si sssd no maneja la información del usuario, ¿cómo funcionará si agrego los dos dominios en sssd.conf? En ese caso, eso no debería hacer ninguna diferencia. ¡Gracias de nuevo!
Eloy Acosta el
@EloyAcosta: nunca dije que no.
Grawity