web-dev-qa-db-ja.com

LDAPをNISに統合する

ユーザー認証、ユーザーに関する詳細情報の保存、マシンへの情報の保存など、一般的なユースケースにLDAPサービスを実装するタスクがあります。

現在、Linuxワークステーション用のNFSと連携して動作するNISシステムがあります。 Windowsマシンは参加しません。これが、LDAPへの変更の理由のひとつであり、電子メールで始まる他の多くのシステムの次にあります。

ただし、主な問題は、私たちが今のところNISにとどまるはるかに大きなシステムの一部であるということです。私たちの部門に属していない一部のユーザーは私たちと一緒に働いているため、私たちのシステムにログインする必要があります。また、ユーザーが他のシステムにログインすることも可能です。ただし、これらはケースバイケースの状況です。明示的に誰かをシステムに招待するか、その逆を行います。

これから始めたばかりなので、いくつかのヒントを教えてください。

  • NISのユーザーがLDAP認証を使用してLinuxマシンにログインできるようにするための推奨される方法は何ですか? LDAPとNISを並べて使用することは可能/推奨されますか(nsswitch.confのfiles ldap nisなど)
  • LDAPユーザーデータをNISシステムにエクスポートするための推奨される方法は何ですか?

PADLソフトウェア を知っています。ただし、私たちはオープンソースソフトウェアを使い続けることを好みます。独自のソリューションは、特にシステムの反対側には使用できません。

編集:追加の制約!申し訳ありませんが、これについて明示的に言及するのを忘れました。重要な側面の1つは、ユーザーIDが特定の範囲内にあるため、NISに組み込まれている他のシステムのユーザーIDと競合しないことです。 LDAPでユーザーIDがどのように生成されるかはわかりませんが、これについても洞察を得ることができます。ありがとう!

1
ypnos

Linux側でPAMを調べることをお勧めします。そこでは、あらゆる種類のトリックを使用して、チェーンで認証と承認を定義できます。例最初にローカルの/ etc/passwd、次にLDAP、最後にNISを使用してログインを試みます。またはその逆。次に、SSH、GDM、Apache2などを接続してそれを使用できます。

2
Morten Siebuhr

理論的には、NSSとPAMの両方にNISとLDAPの両方を使用しても問題はありません。ユーザー名が重複する場合に対処するには、最初にどのサービスを使用するかを検討する必要があります。あなたが提案したように、それはNSSをセットアップする場合であるはずです。 PAMはもう少し複雑になります。 NISを使用すると、認証はunixpamモジュールの使用にフォールバックするだけだと思います。

1
David Pashley