Unterstützung bei der Konfiguration von OpenLDAP Child- oder Relay-Servern

tag-icon tag-icon ldap openldap ldapsearch
Unterstützung bei der Konfiguration von OpenLDAP Child- oder Relay-Servern

Ich bin hier wirklich ratlos und wäre für Hilfe dankbar.

Meine Organisation unterhält bereits einen OpenLDAP-Server, der schreibgeschützten Zugriff ermöglicht

Wenn ich dies ausführe, erhalte ich einen vollständigen Dump aller Benutzer, Gruppen und Organisationseinheiten in meiner Organisation.

ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com

Das ist gut, jetzt habe ich die Organisationshierarchie in der Hand.

Als Nächstes möchte ich einen OpenLDAP-Server erstellen und diesen Server Gruppen „überschreiben“ lassen, die im übergeordneten OpenLDAP-Server nicht vorhanden sind, also beispielsweise im übergeordneten/Haupt-LDAP-Server:

Es gibt ein OU=supportmit Hunderten von Benutzern. Ich möchte diesen Benutzern mehr Granularität hinzufügen.

Was ich auf meinem CHILD LDAP-Server tun möchte, ist:

  • Erstellen Sie eine neue Gruppe mit dem NamenSupport-NewHires
  • OU=supportFügen Sie dieser neuen Gruppe eine kleine Anzahl von Benutzern hinzu .

Wenn ich also irgendwo den untergeordneten LDAP-Server verwende und mich als einer der Benutzer anmelde Support-NewHires, wird die LDAP-Abfrage an den übergeordneten LDAP-Server weitergeleitet (für Passwörter), die Berechtigungen werden jedoch entsprechend dem von mir konfigurierten Support-NewHiresZugriffsort festgelegt.

Nehmen wir an, John ist ein neuer Mitarbeiter in OU=Supportund Jane ist eine erfahrene Mitarbeiterin in OU=Support. Also füge ich John hinzu zuOU=Support-NewHires

Jetzt habe ich eine Anwendung mit LDAP-Integration (VMware vCenter), die ich mit dem CHILD LDAP-Server integrieren möchte. Ich werde eingeschränkte Zugriffskontrollen für die OU=Support-NewHiresGruppe und Vollzugriff auf OU=Supportdie Gruppe festlegen.

Wenn John sich jetzt anmeldet, sieht er die eingeschränkte Ansicht, aber wenn Jane sich anmeldet, erhält sie die uneingeschränkte Ansicht. Ich muss mich nicht mit der Speicherung ihrer Passwörter oder anderer Details befassen, nur mit derenUID=

Beachten Sie, dass ichnichtverfügen über Schreibberechtigung für den Zugriff auf den übergeordneten LDAP-Server.

verwandte Informationen