複数のLDAPサーバーを使用して単一の認証ポイントを作成するにはどうすればよいですか?

複数のLDAPサーバーを使用して単一の認証ポイントを作成するにはどうすればよいですか?

私は現在、ユーザーが仮想マシンに接続できる中央サービスシステムを作成しています。私の目標は、可能なすべてのユーザーに単一の認証ポイントを提供することです。

私が直面している問題は次のとおりです。

ユーザーを2つの異なるLDAPサーバー(内部ユーザーと外部ユーザー)に分割する必要があります。これで、LDAP構成自体は難しくなく、ユーザーもそれほど多くはありません(サーバーあたり20人ほど)。これは冗長システムではなく、それぞれ異なるクラスのユーザーをホストする2つの別々のLDAPサーバーがあります。 UIDとGIDは一意で、ユーザー名も異なります(内部と外部)。

接続を確立する前に、両方のLDAPサーバーのユーザーアカウントを確認する方法はありますか?主な要件は、ユーザーが一意のUIDとGIDを持ち、SSHキーを使用する必要があることです。

理想的な状況は次のとおりです。

  1. ユーザーログイン中央サービス
  2. 内部LDAPでユーザーを確認しています
  3. そのユーザーが参加していない場合は、外部LDAP(2番目のサーバー)を使用してユーザーを認証します。
  4. その人がサーバーに属していない場合、システムはそのユーザーを追い出すでしょう。

ここで私の問題に関する記事を見ました。 複数のLDAPサーバーをプロキシし、プロキシでユーザーをグループ化するにはどうすればよいですか?

しかし、これが私の場合に適用されるのか、それを達成するための別の方法があるのか​​はわかりません。

私の研究では、私はnslcdを使用することも解決策であることがわかりました。

答え1

OpenLDAPを使用すると、複数のバックエンドを持つことができます。物理データベースを定義できます。背景mdb2 つのプロキシバックエンドリバースLDAP。もちろん、すべてのデータベースに対して異なるデータベースサフィックスを使用する必要があります。

この構成により、このOpenLDAPサーバーはLDAPプロキシとして機能し、同時にローカルグループエントリも作成できます。これらのグループエントリでは、LDAPバックエンドのDNを次に設定できます。会員

PS:2つの別々のLDAPサーバーが必要な理由を詳しく説明しますか?

関連情報