1 前言

一个问题，一篇文章，一出故事。
虽然privacyIDEA允许导入本地的“/etc/passwd”作为用户源，但笔者遇到用户来源文件“/etc/passwd”不在privacyIDEA服务器本地。
因此我们需要使用rsync服务将非本地的“/etc/passwd”传输到privacyIDEA服务器然后引入，这样其他服务器的“/etc/passwd”也可以成为privacyIDEA用户来源。

2 最佳实践

2.1 搭建privacyidea服务端

HostName = privacyidea.cmdschool.org
OS = CentOS 8.x-x86_64
IP Address = 10.168.0.105
详细创建教程如下，

如何基于RHEL 8.x部署PrivacyIDEA？

HostName = sftp.cmdschool.org
OS = Oracle Linux 8.x-x86_64
IP Address = 10.168.0.8

2.2 搭建privacyidea服务端

2.2.1 创建用户源目录

In privacyidea，

mkdir -p /data/sftp

2.2.2 部署rsyncd服务

In privacyidea，

如何配置rsyncd服务？

注：要求将目录“/data/sftp”发布成rsync服务“sftp”

2.3 向PrivacyIDEA推送用户配置文件

In sftp，

rsync -avz /etc/passwd privacyidea.cmdschool.org::sftp/

此时sftp的配置文件“passwd”被推送到PrivacyIDEA服务器的“/data/sftp”目录中，然后我们建议你使用如下命令设置计划任务，

crontab -e

计划任务需要加入如下配置，

*/5 * * * * /usr/bin/rsync -avz /etc/passwd privacyidea.cmdschool.org::sftp/

2.4 配置非本机的用户源

2.4.1 配置非本机的passw文件源

浏览器中以管理员身份登录PrivacyIDEA Web管理界面，连接通常为“https://privacyidea.cmdschool.org/”

如上图所示，
单击【Config】->【Users】->【New passwdresolver】
填写“Resolver name”，范例中填写“sftp.cmdschool.org”
填写“File name”，范例中填写“/data/sftp/passwd”
单击【Save resolver】即可导入passwd文件中的用户

2.4.2 配置非本机用户域

如上图所示，
单击【Config】->【Realms】
填写“Resolver name”，范例中填写“sftp.cmdschool.org”
勾选“sftp.cmdschool.org[priority](passwdresolver)”
单击【Create realm】即可创建用户域