27 марта 2012 г. 21:57 пользователь v...@lab127.karelia.ru <v...@lab127.karelia.ru> написал: > Здравствуйте! > Задача: > Есть сервер squeeze, где есть ряд unix учетных записей. > Для одного из корпоративных приложений требуется ldap аутентификация. > Хотелось бы, чтобы пользователь мог заходить на сервер по ssh и управлять > приложением используя одну и ту же учетную запись (сменил пароль, он > меняется и там и там). > Решение состоит в использовании ldap для аутентификации по ssh. > Приложение unix записями оперировать не может. > > Я не разбираюсь в том, как система unix пользователями оперирует, поэтому > вопрос. > Можно ли сделать так, чтобы все пользователи были в ldap, но при этом можно > было бы добавлять их в группы, созданные командой addgroup <group name> и в > стандартные группы типа www-data, mail, etc. > При этом если есть unix учетная запись, то можно было бы входить и под ней. > > Как сделать?
Пилил подобное, но для kerberos, без ldap. Можно посмотреть [1] и [2]. Если завести пользователя в каталоге и настроить PAM на работу с каталогом, то везде будет одна учетная запись. А вот с группами есть такая мысль, но тут надо будет администрировать аккуратно. Если завести пользователя сначала в локальной базе операционной системы, как это делается обычно, а потом отдельно в каталоге, то получается дублирование учетных записей. Это может оказаться полезно. Если PAM и sshd будет работать и по каталогу и по локальной базе пользователей одновременно, то для разных баз пользователей с одним именем будет одно пользовательское пространство. Тогда можно выполнять манипуляции с группами локальной базы пользователей и входить через каталог. Так же можно входить и по базе каталога и по базе локальных пользователей, при том, что пароли у них могут быть как разные так и одинаковые. Коллеги, не слишком абсурдно? Можно как-то иначе? -- [1] http://wiki.debian.org/LDAP/Kerberos#Client_Login_Setup [2] http://wiki.debian.org/LDAP/PAM
