Как настроить pam ldap без использования uidNumber?
Есть база пользователей в LDAP'е, прикручена к почте, авторизации на сайтах, внутренних порталах и т.д. Вроде бы классический вариант, но появилась сложность в подключении к pam авторизации на линуксовом сервере.
У пользователей минимальный набор полей, objectClass = inetOrgPerson и ещё несколько мелких objectClass'ов
Все варианты реализации (sssd, libpam-ldap, libpam-ldapd) сводятся к единственной проблеме: "uidNumber: missing", что вполне логично, т.к. это поле не используется.
Можно, конечно, добавить objectClass = posixAccount, но тогда придётся каким-то образом заполнять его для нескольких тысяч пользователей и следить за его актуальность для новых пользователей.
Вопрос: как сделать авторизацию пользователей из LDAP на линуксовом сервере без использования uidNumber?
1. Забить на pam_ldap и использовать sss
2. Установить UNIX services for Windows, запустить скрипт, который перенумерует AD и при добавлении донумеровывает их. Это нудновато, но я в свое время даже готовый скрипт написал на vbs. Но мне не понравилась необходимость каждый раз, как добавил юзера - пускать этот скрипт
Владимир, Если это на линухе - написать скрипт на перле например, который перенумерует LDAP и будет делать это для новых пользователей. Без UID обойтись нельзя.
На Windows для авторизации пользователей из LDAP неплохо работает pGina без uidNumber'ов: для авторизации используется только uid (логин). Собственно, что-то подобное и требуется реализовать на линуске.
Владимир, не понял - для авторизации в винде по LDAP? Так в винде отсутствует UID как класс. А в линухе UID - основной параметр пользователя. Можно ли в винде авторизоваться без логина, например?
