私は現在、ユーザーが仮想マシンに接続できる中央サービスシステムを作成しています。私の目標は、可能なすべてのユーザーに単一の認証ポイントを提供することです。
私が直面している問題は次のとおりです。
ユーザーを2つの異なるLDAPサーバー(内部ユーザーと外部ユーザー)に分割する必要があります。これで、LDAP構成自体は難しくなく、ユーザーもそれほど多くはありません(サーバーあたり20人ほど)。これは冗長システムではなく、それぞれ異なるクラスのユーザーをホストする2つの別々のLDAPサーバーがあります。 UIDとGIDは一意で、ユーザー名も異なります(内部と外部)。
接続を確立する前に、両方のLDAPサーバーのユーザーアカウントを確認する方法はありますか?主な要件は、ユーザーが一意のUIDとGIDを持ち、SSHキーを使用する必要があることです。
理想的な状況は次のとおりです。
- ユーザーログイン中央サービス
- 内部LDAPでユーザーを確認しています
- そのユーザーが参加していない場合は、外部LDAP(2番目のサーバー)を使用してユーザーを認証します。
- その人がサーバーに属していない場合、システムはそのユーザーを追い出すでしょう。
ここで私の問題に関する記事を見ました。 複数のLDAPサーバーをプロキシし、プロキシでユーザーをグループ化するにはどうすればよいですか?
しかし、これが私の場合に適用されるのか、それを達成するための別の方法があるのかはわかりません。
私の研究では、私はnslcdを使用することも解決策であることがわかりました。