保持AD组在OpenLDAP中与POSIX帐户增强同步

Question

实现以下目标的最明显方法是:站点有一个正常工作的AD基础设施，基础结构的某些部分是紧密耦合的GNU/Linux机器，来自AD ou=linux-users,dc=example,dc=com的用户应该能够使用他们的AD凭证登录到基础设施的Linux部分，但不需要在Linux机器的PAM堆栈中使用DC，即应该有某种同步加上增强POSIX属性(uid、gid、homedir、密码)，从AD到slapd。linux机器上的slapd是OpenLDAP，AD的模式来自没有POSIX属性的Windows2003。

Answer 1

Ldap同步连接器(LSC)可用于设置从AD到OpenLDAP服务器的连续同步，同时添加任意生成的额外属性。

但是，这不允许直接使用AD的凭据，除非您设置OpenLDAP将绑定请求转发到AD服务器.但是，您需要依赖于可用的AD基础设施。

依赖AD中的凭据是很困难的，因为您要么需要在其他地方拥有明文凭据，要么依赖于使用AD进行绑定，或者设置密码同步。看看Active密码同步选项。

该页面中没有描述的一个选项是从AD服务器导出散列密码列表，但这是一次操作，而不是连续同步。

Answer 2

您不想让AD服务器进入PAM堆栈有什么特别的原因吗？这里的最佳解决方案是向AD用户添加POSIX/ The 2307属性，并将pam_ldap/nss_ldap (或nss_ldapd)指向AD服务器。

如果您有网络安全/负载问题，从而无法直接查询AD，则可以使用OpenLDAP的代理/缓存功能或部署有限的AD从站来服务Linux主机。

我建议不要“增加”账户--这可以通过一些相当肮脏的黑客来完成，但在我的经验中，它太脆弱了，无法信任生产环境。它还打破了“一个权威来源”的范式:如果AD是您的权威帐户存储，那么POSIX属性应该在那里添加和管理。