我正在管理一个Linux CentOS
系统,该系统可以作为fileserver
(以及更多) - 通过SSH访问。
出于身份验证的目的,我们将pam-ldap与公司ldap-server一起使用。用户创建和组成员身份在linux系统上进行管理。
当用户登录时,身份验证将由pam-ldap
处理。
目前,我们已经将pam-ldap配置为仅在查找用户时在ldap-server的国家/地区特定部分中进行搜索。
然后,我们通过为他们创建本地用户帐户来处理国外的任何人。
但是,我们看到越来越多的out-of-country
同事需要访问服务器。
使用本地用户的问题是他们需要特殊处理来强制执行密码强度并更改我们通过ldap身份验证自动获得的规则。
今天,我们使用类似于此
的ldap基础 c=us,ou=auth,o=company.tld
。
对于国外同事,基数需要略有不同,例如
c=uk,ou=auth,o=company.tld
不幸的是,我们不能简单地删除基础的国家/地区组件,因为我们今天使用的登录只在一个国家/地区内是唯一的。
对于每次登录,我们都知道要使用的正确基础,但我不清楚如何(自动)将此信息提供给身份验证过程。
可以这样做吗?
由于