Autenticação LDAP e grupos padrão

0

Eu tenho vários servidores RHEL 7.4 com autenticação LDAP via sssd. Convenientemente, o ambiente LDAP da minha universidade tem um atributo UIDNumber que é único para cada pessoa. Meu sssd.conf está no final desta questão.

Aqui estão minhas perguntas sobre isso:

  • A TI central executa dois ambientes LDAP: Active Directory e LDAP "tradicional", ambos com nomes de usuários e senhas mantidos em sincronia. Eu Não é possível criar grupos no ambiente LDAP, mas eu posso no AD. É Existe uma maneira de dizer: "Autenticar usuários via LDAP, mas sAMAccountName de um nome de usuário tem que coincidir com memberOf neste outro servidor LDAP"? Como está agora, meu ldap_user_search_base pode se transformar em um heck de um filtro quando eu tiver muitos usuários.

  • Além disso, eu estaria interessado em saber se é possível automaticamente fazer grupos para usuários. Ou seja, quando o usuário jsmith com logs do UID 12345 em, há também um jsmith de grupo com GID 12345 pronto para ir.

Obrigado!

[domain/default]
autofs_provider = ldap
cache_credentials = True
ldap_search_base = dc=example,dc=edu
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldap.example.edu:636
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=proxy,ou=proxy-users,dc=example,dc=edu
ldap_default_authtok = lamepassword
ldap_user_object_class = exampleEduPerson
ldap_user_name = uid
ldap_user_uid_number = exampleEduUIDNumber
ldap_user_gid_number = exampleEduGIDNumber
ldap_user_gecos = exampleEduGECOS
ldap_user_uuid = exampleEduUID
ldap_id_mapping = False
override_shell = /bin/bash
override_homedir = /home/%u
debug_level = 5
ldap_user_search_base = uid=jsmith,ou=People,dc=example,dc=edu??
[sssd]
services = nss, pam, autofs
config_file_version = 2
domains = default
[nss]
homedir_substring = /home
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]
    
por user2007854 11.04.2018 / 22:44

1 resposta

0

Eu não sei como configurar o SSSD de maneira que você possa coletar informações de diferentes fontes para um usuário. Mesmo que isso seja possível, é altamente recomendável não fazer isso para evitar incompatibilidades.

O que eu recomendaria para o acesso LDAP:

  • use um diretório como fonte principal. AD pode ser o único aqui.
  • Se isso não for possível, certifique-se de que todas as informações necessárias estejam no LDAP. Se você tiver alguma influência nas decisões de design, considere outras ferramentas para sincronizar (tenho experiências usando o Univention Corporate Server como instância LDAP sincronizada com o AD usando o Conector incluído)
  • Se isso também não for possível, talvez seja necessário adicionar um serviço dedicado (terceiro LDAP?) com alguns scripts que coletam as informações necessárias de diferentes fontes

Minha recomendação para o "grupo por usuário": Se tais grupos forem realmente necessários, isso deve ser feito no LDAP. Caso contrário, você não pode ter certeza de que o grupo tenha o mesmo ID de posix nos diferentes servidores.

    
por 13.06.2018 / 16:21