本当に困惑しており、助けていただければ幸いです。
私の組織では、読み取り専用アクセスを許可するOpenLDAPサーバーをすでに管理しています。
これを実行すると、組織内のすべてのユーザー、グループ、OU の完全なダンプが取得されます。
ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com
これは良いですね。これで組織階層が手に入りました。
次に、OpenLDAP サーバーを作成し、このサーバーで親 OpenLDAP サーバーに存在しないグループを「上書き」します。たとえば、親/メイン LDAP サーバーでは次のようになります。
OU=support
何百人ものユーザーがいる環境があります。これらのユーザーに対して、より細分化された情報を追加したいと考えています。
CHILD LDAP サーバーで実行したいことは次のとおりです。
- という新しいグループを作成します
Support-NewHires
OU=support
この新しいグループから少数のユーザーを追加します。
したがって、どこかで CHILD LDAP サーバーを使用し、 内のユーザーの 1 人としてログインするとSupport-NewHires
、LDAP クエリは PARENT LDAP サーバーに転送されます (パスワード用) が、アクセス許可はアクセスするように設定した場所に応じて設定されますSupport-NewHires
。
ジョンは の新入社員でOU=Support
、ジェーンは のベテランだとしますOU=Support
。そこで、ジョンを に追加します。OU=Support-NewHires
現在、LDAP統合(VMware vCenter)を備えたアプリケーションがあり、CHILD LDAPサーバーと統合します。グループに制限付きアクセス制御を設定し、グループOU=Support-NewHires
にフルコントロールアクセスを設定します。OU=Support
これで、ジョンがログインすると制限付きビューが表示されますが、ジェーンがログインすると制限なしビューが表示されます。パスワードやその他の詳細を保存する必要はなく、UID=
私がしないでくださいPARENT LDAP サーバーにアクセスするための書き込み権限を持っています。