Como criar um único ponto de autenticação com vários servidores LDAP?

0

Atualmente, estou em um processo de criação de um sistema de serviços central de onde os usuários podem se conectar a VMs. Meu objetivo com isso é ter um único ponto de autenticação para todos os usuários possíveis.

A questão que estou enfrentando é:

Eu preciso dividir os usuários em dois servidores LDAP diferentes (usuários internos e externos). Agora, a configuração LDAP em si não é difícil e não tem muitos usuários (talvez 20 em cada servidor). Este não é um sistema redundante, existem 2 servidores LDAP independentes, cada um hospedando uma categoria diferente de usuários. Os UIDs e GIDs serão únicos, até o nome dos usuários será diferente (usuários internos de usuários externos) /

Existe uma maneira de verificar as contas de usuário em ambos os servidores LDAP antes que a conexão seja feita? Um requisito principal é que os usuários terão um UID e um GID exclusivos e usarão chaves SSH.

O caso ideal seria:

  1. Login de usuários no Serviço Central
  2. O usuário está sendo verificado no LDAP interno
  3. Se ele não fizer parte disso, o usuário está sendo verificado com o LDAP externo (o segundo servidor)
  4. Se ele também não faz parte desse servidor, o sistema expulsa o usuário.

Eu vi uma postagem relacionada à minha pergunta aqui:

link

Como posso fazer proxy de vários servidores LDAP e ainda ter um agrupamento de usuários no proxy?

No entanto, não tenho certeza se isso se aplica à minha situação, se existem outras maneiras de fazer isso acontecer.

Eu também descobri em minha pesquisa que usar o nslcd também seria uma solução.

Por favor, aguarde quatro por sua ajuda.

Obrigado antecipadamente.

Adrian

    
por Adrian 10.07.2018 / 15:38

1 resposta

0

O OpenLDAP permite que você tenha vários back-ends. Você poderia definir um banco de dados real com back-mdb e dois backends de proxy com back-ldap . Claro que você tem que usar um sufixo DB diferente para todos eles.

Com essa configuração, você pode deixar esse servidor OpenLDAP atuar como proxy LDAP e, ao mesmo tempo, criar entradas de grupos locais. Nestas entradas de grupo, você pode colocar os DNs dos back-ends LDAP como membro .

P.S .: Você poderia explicar por que precisa de dois servidores LDAP separados?

    
por 21.07.2018 / 18:35