¿Cómo autenticar usuarios de Linux contra dos directorios diferentes simultáneamente?

Tengo algunos servidores Linux que usan SSSD integrado con Microsoft AD para autenticar a los usuarios de AD.

Los grupos de AD son administrados por un departamento diferente y me gustaría configurar otro directorio para administrar mis propios grupos, pero no puedo simplemente salir del dominio.

Entonces, estoy pensando en instalar un nuevo servidor OpenLDAP o IPA para crear mis propios grupos, y crear una configuración en mis servidores Linux, para que puedan extraer identidades / grupos de AD y de mi LDAP al mismo tiempo. Entonces, si un usuario existe en ambos, la lista de grupos a la que pertenece el usuario sería un superconjunto compuesto por ambas listas de grupos.

por ejemplo: supongamos que tengo un usuario John que existe en AD y está incluido en los grupos de AD: "group1" y "group2". Crearía el usuario (mismo uid) en mi propio directorio y lo incluiría en "group3". Entonces, cuando el usuario inicia sesión en mi servidor Linux, estaría en "grupo1", "grupo2" y "grupo3".

¿Cómo sería eso posible?

Gracias por adelantado.

La recuperación de la información del usuario en realidad está separada de la autenticación: es manejada por nsswitch, no por PAM.

De cualquier manera, lo primero que debe intentar sería configurar dos dominios en sssd (un AD, un LDAP) y ver si sssd combina los resultados de búsqueda de ambos.

Si eso no funciona, configure nslcd u otro cliente LDAP alternativo mientras mantiene sssd para AD, y enumere ambos módulos en el sistema nsswitch.conf. Los resultados de diferentes módulos generalmente se combinan (por ejemplo, / etc / group puede aumentar los usuarios de AD).