RHEL 9 использует ldap (AD) только для аутентификации.

Question

RHEL 9 использует ldap (AD) только для аутентификации.

Я хочу управлять пользователями локально в системе RHEL 9. Я хочу создавать, удалять и связывать группы локально. Однако я хочу, чтобы их пароль проверялся по LDAP. Если они не существуют в ldap, это нормально, и они должны пройти аутентификацию, используя аутентификацию локальных файлов. Я не хочу, чтобы он создавал пользователя или предоставлял доступ, если пользователь не существует в локальном файле /etc/passwd.

Чего я не хочу, так это интеграции, которая присоединяет систему к домену или извлекает группы из ldap или даже требует определения пользователя ldap для входа в систему. Все, что мне нужно, это проверка пароля, если в ldap существует локальный пользователь.

Конечно, это возможно, но до сих пор меня перевели на sssd, как будто это единственное решение, и мне еще предстоит заставить его работать так, как я хочу. Помощь будет очень признательна.

2

ldap authentication rhel9

Источник

Paul Lemmons 15 ноя '23 в 18:50

1 ответ

Другие вопросы по тегам ldap authentication rhel9

grawity 16 ноя '23 в 07:07 2023-11-16 07:07 · Answer 1 · 2023-11-16 07:07

Любой модуль PAM, способный взаимодействовать с AD, справится с этой задачей, если вы настроите только PAM, а не /etc/nsswitch.conf¹. PAM — это то, что обрабатывает проверки аутентификации; nsswitch — это то, что получает информацию о пользователе.

Выбор модуля PAM не имеет большого значения; вы бы интегрировали любой из них в PAM точно таким же образом. Либо SSSD () или Nslcd («новый») может быть использован.

Лично я бы использовал, поскольку Kerberos является фактическим протоколом аутентификации, который использует AD (тогда как проверка паролей по LDAP немного похожа на проверку паролей по FTP), но, по общему признанию, у Kerberos есть дополнительное требование по созданию учетной записи компьютера через «adcli» и получению хоста. keytab (т.е. центральная часть «присоединения к домену»), поэтому в зависимости от ситуации это может быть для вас неприемлемо.

Аналогично, даже Sambaтоже будет работать, хотя для этого требуется полное присоединение к домену и здесь определенно излишне, но основная концепция остается той же. (То есть вы можете пройти процедуру полного присоединения к домену RHEL, а затем отключить AD в nsswitch.conf – оставив только PAM – и вы получите желаемый результат.)

¹ (То есть вам нужна полная противоположность «принятому» ответу в другой теме, на которую ссылается Грег.)