Überladen von LDAP

In meinem College gibt es einen LDAP-Server, der von den Mitarbeitern verwaltet wird. Wir können diesen LDAP-Server von unseren Computern aus verwenden, aber keine Attribute ändern (z. B .: Benutzeranmeldeshell).

Wir möchten diese Attribute ändern, daher haben wir uns überlegt, einen LDAP-Server einzurichten, der als Proxy für den anderen dient: Wir würden jedes Attribut festlegen, das wir auf unserem LDAP-Server benötigen, und dann das von den Mitarbeitern für angebotene Attribut verwenden Authentifizierung.

Gibt es eine Möglichkeit, dies zu tun?

Die richtige Antwort lautet replication. Sorgen Sie dafür, dass die Administratoren des LDAP-Servers dessen Inhalte auf Ihren lokalen LDAP-Server replizieren. Sie können dies ablehnen, da die Datenbank abweichen kann, wenn die Replikation nicht multi-masteroder bidirektional ist. Andernfalls konfigurieren Sie Ihren eigenen LDAP-Server, füllen Sie ihn nach Bedarf mit Daten und konfigurieren Sie Ihre LDAP-Clients für die Verwendung des neuen Servers.

Dafür wurde OpenLDAPs Overlay Slapo-Translucent entwickelt. Grundsätzlich verwalten Sie eine lokale Datenbank in Ihrem LDAP-Proxy-Backend und erweitern den vom LDAP-Server Ihres Unternehmens abgerufenen Inhalt.

Siehe auch: OpenLDAP-Administratorhandbuch - Translucent Proxy

Für einfache Fälle wie homeDirectory würde ich vorschlagen, nachzusehen, was die NSS / PAM-Clients wie sssd und nss-pam-ldapd für spezielle Attributzuordnungen bereitstellen. Dies könnte bereits ausreichend sein.