Аутентификация и авторизация в AD

>>Хотя, при запуске ldapsearch "(uid=test)" ничего не выдается.

А в этом случае вроде бы нужно ещё базовую ветку прописать basedn (-b).
КОнкретное название зависит от настроек. Я могу вытащить всех пользователей с помощью (приходиться вводить пароль):

ldapsearch -x -D "cn=myaccount,cn=users,dc=...,dc=ru" -b"cn=users,dc=...,dc=ru" -h 192.168.1.1 -W

Правда? поля uid там нет. Cхемы:

objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user

Вместо uid есть вот что:

objectGUID:
objectSid:
primaryGroupID:

Дело в том, что все нужные настройки и маппинги (nss_map_objectclass и nss_map_attribute) сделаны. Я могу без проблем после авторизации посредством GSSAPI/SASL просматривать все содержимое каталога AD. Но насколько я понимаю, что при запросе UID, мне должен выдаться ответ sAMAaccountName, так как есть соответствующий mapping. Я не прав? Не работает маппинг, или следует копать в другую сторону?

ldapsearch o mappinge ничего не знает. Он ищет атрибут с именем uid и возвращает объект, который этот атрибут содержит. Если ничего не возвращает, значит такого атрибута нет. Насколько я знаю, этот атрибут описан в схеме postfixAccount, но как эту схему вставить в AD для меня загадка.

В nssldap надо указывать положение keytab в котором лежит KRB5 ключ доступа к ldap директории. Этот ключ должен быть инициализирован до того, как пользователь будет логинится на машину.

Опция - krb5_ccname FILE:/etc/.ldapcache - туда можно кинуть ключ, который не требует пароля (через kadmin положить его в /etc/.ldapcache на локальную машину, проверка: kinit -k /etc/.ldapcache someusername@SOME.DOMAIN - пароль не должен быть спрошен).