Estou tentando configurar a autenticação LDAP usando o SSSD no CentOS 7.
É possível configurar o SSSD de forma que ele use dois servidores LDAP: um servidor LDAP é usado apenas para autenticação (basicamente apenas para autenticar com a senha) e outro servidor LDAP é usado para identificação e obtenção de todos os atributos de um usuário (homeDirectory, atributos LDAP adicionais definidos apenas nesse servidor LDAP)?
Os usuários são definidos em ambos os servidores (mesmo uid, mas base diferente)
A longo prazo, seria melhor encontrar uma maneira de mesclar suas bases.
No entanto, SASL Pass-Through Authentication pode ser uma opção para você. A menos que você já o esteja usando para passar sua autenticação principal para algo como Kerberos, nesse caso, seria mais adequado replicar a entrada userPassword , já que ela provavelmente permanecerá estática. Ela deve permitir que você use a outra base para autenticação.
Não, não acho que isso seja possível, exceto com um hack feio. O único caso especial que o sssd suporta é um servidor LDAP diferente para operações de mudança de senha (com ldap_chpass_uri ).
Mas o que você poderia fazer é usar id_provider=proxy , configurá-lo para usar o nslcd (também conhecido como nss-pam-ldapd) e configurar o nslcd para usar o servidor LDAP de identidade. Em seguida, configure auth_provider=ldap e aponte para o servidor LDAP de autenticação.
Não é bonito e você teria dois daemons LDAP em execução, mas não consigo pensar em outra maneira de resolver o problema.