如何同时针对两个不同的目录认证linux用户？

我有一些Linux服务器使用与Microsoft AD集成的SSSD来验证AD用户。

AD组由另一个部门管理，我想设置另一个目录来管理自己的组，但是我不能仅仅离开域。

因此，我正在考虑安装新的OpenLDAP或IPA服务器来创建自己的组，并在Linux服务器中提供配置，以便它们将同时从AD和LDAP中提取身份/组。因此，如果两个用户同时存在，则该用户所属的组列表将是由两个组列表组成的超集。

例如-假设我有一个用户John，该用户存在于AD中，并且他包含在AD组中：“ group1”和“ group2”。我将在自己的目录中创建用户（相同的uid），并将其包括在“ group3”中。因此，当用户登录到我的Linux服务器时，他将位于“ group1”，“ group2”和“ group3”中。

那怎么可能呢？

提前致谢。

用户信息检索实际上是与身份验证分开的，它是由nsswitch而不是PAM处理的。

无论哪种方式，首先要尝试的是在sssd中配置两个域（一个AD，一个LDAP），然后查看sssd是否合并了两者的查找结果。

如果这不起作用，请在保留sssd for AD的同时设置nslcd或其他备用LDAP客户端，并将这两个模块都列在系统的中nsswitch.conf。通常将来自不同模块的结果合并（例如/ etc / group可以增加AD用户）。