LDAP: usuário local e remoto com o mesmo nome de usuário

1

Eu configurei um servidor openLDAP com identificações de usuário e grupo LDAP a partir de 10000. Meu cliente vincula-se com êxito ao servidor LDAP por meio de ldapsearch . Além disso, getent passwd|group retorna uma lista completa de grupos de usuários locais e remotos (LDAP). Meu usuário local no cliente, johndoe (uid = 1000), também existe no diretório LDAP como uid 10000. Os usuários locais e LDAP sobrepostos (somente os nomes de usuários são comuns) possuem senhas diferentes.

Cenário 1: No meu cliente Linux Mint 17, quando logado como johndoe através do desktop Cinnamon, os comandos id -G e id -G <user> retornam um conjunto diferente de grupos:

$ whoami
johndoe

:~$ id -G
1000 4 7 24 27 30 33 46 100 112 118 119

:~$ id -G johndoe
1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10005 10006 10007 10008 10004 10009 10010

Observe os gids > 10000 são do diretório LDAP e só aparecem quando o nome de usuário é explicitamente especificado.

Cenário 2: Depois de alternar os usuários para a conta johndoe remota (autenticando com a senha LDAP), os IDs efetivos e reais correspondem:

:~$ whoami
johndoe

:~$ su johndoe
Password: 

:~$ whoami
johndoe

:~$ id -G
1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10004 10005 10006 10007 10008 10009 10010

:~$ id -G johndoe
1000 4 7 24 27 30 33 46 100 112 118 119 10000 10001 10002 10003 10005 10006 10007 10008 10004 10009 10010

No primeiro cenário, meus compartilhamentos de rede CIFS, que foram configurados para acesso somente por usuários e grupos LDAP, não podem ser lidos. No entanto, após alternar usuários, conforme mostrado no segundo cenário, esses mesmos compartilhamentos são acessíveis conforme previsto originalmente.

Como sou novo no LDAP, minha ignorância é, sem dúvida, em exibição total com este post. Dito isso, quais são as melhores práticas para sobrepor nomes de usuários locais e remotos (ou seja, não fazer isso, manter uids separados, combinar senhas, etc ...) e como configurar meu cliente para usar os grupos LDAP por padrão? evitando assim o segundo login?

FWIW, /etc/nsswitch.conf no cliente contém:

passwd: files ldap
group: files ldap
shadow: files ldap

Client kernel:

:~$ uname -a
Linux my-client 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
    
por rhp997 05.11.2014 / 19:38

0 respostas