针对不同服务器的用户和组的拆分身份验证和NSS查找

Question

我以前问过这个问题：ldap.conf中的多绑定和基DNs

由于前面的问题是否定的，所以我正在寻找其他选项，如拆分身份验证和NSS查找(如上面链接中提供的答案中所建议的)。

身份验证和NSS查找是如何划分成不同的服务器的？

Answer 1

这很棘手。您需要一个PAM模块，该模块执行LDAP身份验证，但不使用与NSS的LDAP插件相同的配置。这是有问题的，因为大多数发行版假设您使用的是集成LDAP解决方案。

• PADL的pam_ldap模块看起来可以配置为使用与PADL的LDAP插件用于NSS的配置文件不同的配置文件。
  • 请注意，PADL对NSS的LDAP实现不涉及像nscld这样的守护进程，因此被认为是低劣的。
  • 如果您的发行版允许您同时使用nslcd和PADL的pam_ldap，您可以尝试。(不太可能)包通常是相互排斥的，因为它们提供了类似的功能。除非NSS插件是单独打包的，否则将出现文件冲突。(libnss_ldap.so)

• 看看pam_sssd，如果你的发行版能提供它的话。我认为可以同时使用这些工具，但是它依赖于sssd，而且我以前还没有设置它。
• 自定义编译pam_ldap实现并将其配置为使用单独的配置文件。这事你得靠自己了。值得注意的是，PADL的pam_ldap看起来可以与其NSS库分开构建。
• 如果您有一个Kerberos实现(即Active Directory)，您可以使用pam_krb5.so进行身份验证，并提醒LDAP...but上的NSS需要自己的知识子集才能正确配置。

无论如何，这都是很费时的。最好在两个LDAP服务器之间复制必要的数据，以便将服务器指向一个服务器。