Est-il nécessaire de synchroniser les users entre Ubuntu client et ldap?

J'ai posté une question similaire sur sur super user

J'essaie de configurer Ubuntu pour me connecter à ldap. J'ai rencontré plusieurs publications connexes, mais je suis encore confus:

Comment pam_ldap trouve-t-il les users de ldap? Dois-je créer manuellement une input dans / etc / passwd pour chaque user dans ldap?

La raison pour laquelle je request, c'est parce que je semble pouvoir m'authentifier contre ldap tant que j'ai un nom d'user dans le file / etc / passwd qui correspond à uid dans ldap.

Par exemple, user1 a un count local (que j'ai créé avec adduser). Il existe également un user ldap uid=user1,ou=people,dc=mydomain,dc=com . Le mot de passe local pour user1 est différent du mot de passe du ldap avec le même uid. Je peux me connecter avec les deux passwords. En outre, si je commente la ligne pam_unix dans common-auth, il ne me laissera que l'utilisation du mot de passe défini dans ldap.

Je suis donc très sûr que pam_ldap fonctionne. Mais lorsque j'essaie de me connecter en utilisant un user défini dans ldap (mais qui n'a PAS une input dans / etc / passwd), auth.log montre "user non valide".

Alors, je dois manquer une étape? Existe-t-il un moyen de synchroniser les users de ldap dans / etc / passwd? Ou peut-être une option de configuration pour que pam_ldap crée un count local correspondant lorsqu'un user ldap tente d'abord de se connecter?

Vous devriez avoir une input dans nsswitch.conf utilisant le module ldap pour passwd. L'input passw d'un user n'est pas associée à son mécanisme d'authentification; Il est pratique de garder les deux dans LDAP si c'est une bonne solution pour vous.

 passwd: db ldap files 

est une bonne input.

Vous devrez également vous assurer que votre file /etc/ldap.conf est correctement configuré, bien que les valeurs par défaut (sauf la base et l'hôte, bien sûr);) fonctionnent bien. Enfin, assurez-vous que le module ldap nss est installé.

Vous devrez peut-être append une directive à common-password de common-password pour charger pam-ldap. Le module pam ldap devrait avoir des options pour la création d'user à partir de ldap.

Modifier: la création d'user / homedir est actuellement prise en charge par un autre module, pas pam-ldap.

Debian a un très bon guide complet ici: http://wiki.debian.org/LDAP/PAM

Jetez un oeil à l'utilisation de pam_mkhomedir sur cette page.