Як аутентифікувати користувачів Linux проти двох різних каталогів одночасно?

У мене є декілька серверів Linux, які використовують SSSD, інтегрований з Microsoft AD, для автентифікації користувачів AD.

Групами AD керує інший відділ, і я хотів би створити інший каталог для управління своїми групами, але я не можу просто вийти з домену.

Отже, я думаю про встановлення нового сервера OpenLDAP або IPA, щоб створити власні групи, і створити конфігурацію на моїх серверах Linux, щоб вони одночасно витягували особи / групи з AD та з мого LDAP. Отже, якщо користувач існує в обох, список груп, до якого належить користувач, буде надмножиною, що складається з обох списків груп.

Наприклад - Скажімо, у мене є користувач Джон, який існує в AD, і він включений до груп AD: "group1" і "group2". Я створив би користувача (той же uid) у власному каталозі та включив би його до "group3". Отже, коли користувач увійде на мій сервер Linux, він буде в групі "group1", "group2" та "group3".

Як це було б можливо?

Заздалегідь спасибі.

Пошук інформації користувача фактично є окремим від автентифікації - ним керує nsswitch, а не PAM.

У будь-якому випадку - перше, що потрібно спробувати, - це налаштування двох доменів в sssd (один AD, один LDAP) і бачити, чи sssd об'єднує результати пошуку з обох.

Якщо це не працює, встановіть nslcd або інший альтернативний клієнт LDAP, зберігаючи sssd для AD, і перелічіть обидва модулі в системі nsswitch.conf. Результати різних модулів зазвичай об'єднуються (наприклад, / etc / group може збільшувати користувачів AD).