Überladen von LDAP

3

In meinem College gibt es einen LDAP-Server, der von den Mitarbeitern verwaltet wird. Wir können diesen LDAP-Server von unseren Computern aus verwenden, aber keine Attribute ändern (z. B .: Benutzeranmeldeshell).

Wir möchten diese Attribute ändern, daher haben wir uns überlegt, einen LDAP-Server einzurichten, der als Proxy für den anderen dient: Wir würden jedes Attribut festlegen, das wir auf unserem LDAP-Server benötigen, und dann das von den Mitarbeitern für angebotene Attribut verwenden Authentifizierung.

Gibt es eine Möglichkeit, dies zu tun?

peoro
quelle

Antworten:

1

Die richtige Antwort lautet replication. Sorgen Sie dafür, dass die Administratoren des LDAP-Servers dessen Inhalte auf Ihren lokalen LDAP-Server replizieren. Sie können dies ablehnen, da die Datenbank abweichen kann, wenn die Replikation nicht multi-masteroder bidirektional ist. Andernfalls konfigurieren Sie Ihren eigenen LDAP-Server, füllen Sie ihn nach Bedarf mit Daten und konfigurieren Sie Ihre LDAP-Clients für die Verwendung des neuen Servers.

Terry Gardner
quelle
0

Dafür wurde OpenLDAPs Overlay Slapo-Translucent entwickelt. Grundsätzlich verwalten Sie eine lokale Datenbank in Ihrem LDAP-Proxy-Backend und erweitern den vom LDAP-Server Ihres Unternehmens abgerufenen Inhalt.

Siehe auch: OpenLDAP-Administratorhandbuch - Translucent Proxy

Für einfache Fälle wie homeDirectory würde ich vorschlagen, nachzusehen, was die NSS / PAM-Clients wie sssd und nss-pam-ldapd für spezielle Attributzuordnungen bereitstellen. Dies könnte bereits ausreichend sein.

Michael Ströder
quelle