特定の AD/OpenLDAP 相互運用ケースを調べているときに、興味深い問題に遭遇しました。OpenLDAP サーバーには、gidNumber が group1 に対応する user1 がいます。また、gidNumber が group2 に対応する別の user2 がいます。ただし、group1 は user2 のみをメンバーとしてリストし、group2 は両方をリストします。なぜこのようなことが起こるのでしょうか?
Linux 環境の gidNumber は、AD の primaryGroupID と同様に動作すると予想していましたが、AD では、memberOf フィールドと member フィールドは適切にリンクされており、primaryGroupID はこのリンクから除外されていますが、ユーザーはプライマリ グループのメンバーとして認識されます。ただし、OpenLDAP の場合、memberOf フィールドはなく、gidNumber を指定してもグループ メンバーシップは付与されないようです。user1 を group1 のメンバーと見なすのは間違っているのでしょうか。この場合の適切な動作に関するドキュメントはありますか。
私の具体的な問題は、AD では、user1 は group1 のメンバーではなく、メンバーであるべきではないのに、新しい相互運用所有グループ ロジックが OpenLDAP で gidNumber を使用して、user1 をプライマリ グループとしてこのグループにマッピングし、AD の primaryGroupID (Domain Users) を上書きすることです。たとえば、group1 のユーザーへのアクセスを拒否し、group2 のユーザーへのアクセスを許可する場合、このマッピングにより、user1 は予期せずアクセスできなくなります。ただし、user1 は許可され、user2 のみが拒否されると予想されます。
これについての訂正やアドバイスをいただければ幸いです。