Linux: การแปลงจาก NIS เป็น AD auth จะเชื่อมโยง UID/GID เก่ากับผู้ใช้ "ใหม่" ได้อย่างไร

ความเป็นมา: องค์กรของเราใช้ NIS มานานกว่า 20 ปีสำหรับการรับรองความถูกต้องของ UNIX/Linux ซึ่งดำเนินการต่อเนื่องมาจนถึงปัจจุบัน Windows และ Active Directory ปรากฏขึ้นในองค์กรของเราเมื่อประมาณ 16 ปีที่แล้ว แต่ AD ไม่เคยถูกใช้กับ Linux auth (ตอนนี้ใช้ RHEL/CentOS และ Ubuntu Linux เท่านั้น ส่วน *nix อื่นๆ ทั้งหมดก็ล่มไปตามข้างทาง) ดังนั้น ทรัพยากร Linux ทั้งหมดของเรา เรายังคงใช้ช่วง UID/GID แบบดั้งเดิมสำหรับไฟล์ของผู้ใช้

ตอนนี้ฝ่ายบริหารได้กำหนดว่าเราต้องย้ายไปที่ AD สำหรับ Linux auth และหยุดใช้ NIS (ไม่มีข้อโต้แย้งจริง ๆ ;) และเรากำลังดำเนินการโดยใช้ SSSD เพื่อทำสิ่งนี้ (ซึ่งดูเหมือนจะเป็นที่นิยม [เท่านั้น?] วิธีผสานรวมการรับรองความถูกต้องของ Linux กับ AD) ปัญหาที่เรากำลังเผชิญคือวิธีเชื่อมโยงค่า UID และ GID ที่ใช้ NIS แบบเก่าสำหรับผู้ใช้กับข้อมูลประจำตัวที่ใช้ AD ใหม่ ตัวอย่างเช่น ผู้ใช้ AD-auth'd ของฉันในระบบทดสอบมีสิ่งนี้จาก รับรหัสผ่าน wd -s sss wdennis:

root@vm01:~# getent passwd -s sss wdennis
wdennis:*:140001116:140000513:Will Dennis:/home/wdennis:/bin/bash

เห็นได้ชัดว่า UID/GID ถูกสร้างขึ้นโดยอัตโนมัติ และไม่สอดคล้องกับค่า NIS ปัจจุบันของเรา ในการทำวิจัยเกี่ยวกับโฆษณาและสคีมา ฉันเห็นว่าแอตทริบิวต์ของผู้ใช้มีดังต่อไปนี้:

• หมายเลขรหัส
• gidNumber
• unixHomeDirectory
• ล็อกอินเชลล์

คำถามของฉัน SSSD (หรืออะไรก็ตามที่เราใช้ในการรับรองความถูกต้อง) สามารถใช้ค่าของ หมายเลขรหัส และ gidNumber เพื่อแมป UID/GID ที่มีอยู่ของไฟล์กับผู้ใช้ AD-auth'd ใหม่หรือไม่ หรือเราจะเชื่อมโยงข้อมูลความเป็นเจ้าของไฟล์ที่มีอยู่กับผู้ใช้ AD-auth'd ได้อย่างไร (เนื่องจากไฟล์และเครื่องมีจำนวนมาก จึงเป็นไปไม่ได้จริงๆ เคี้ยว ไฟล์ไปยังค่า UID/GID ใหม่...)