Bei der Untersuchung eines bestimmten AD/OpenLDAP-Interoperabilitätsfalls stieß ich auf ein interessantes Problem. Auf dem OpenLDAP-Server gibt es einen Benutzer1, dessen gidNumber einer Gruppe1 entspricht. Es gibt einen weiteren Benutzer2, dessen gidNumber einer Gruppe2 entspricht. Gruppe1 listet jedoch nur Benutzer2 als Mitglied auf, Gruppe2 listet beide auf. Wie ist das möglich?
Ich hatte erwartet, dass gidNumber in Linux-Umgebungen ähnlich funktioniert wie primaryGroupID in AD – aber in AD sind die Felder memberOf und member richtig miteinander verknüpft und primaryGroupID ist von dieser Verknüpfung ausgeschlossen, aber der Benutzer wird als Mitglied seiner primären Gruppe verstanden. Für OpenLDAP gibt es jedoch kein memberOf-Feld und es scheint, als würde Ihnen die Angabe einer gidNumber keine Gruppenmitgliedschaft gewähren. Ist es dann falsch, user1 als Mitglied von group1 zu betrachten? Gibt es eine Dokumentation zum richtigen Verhalten in diesem Fall?
Mein spezielles Problem ist, dass in AD der Benutzer1 KEIN Mitglied von Gruppe1 ist und es auch nicht sein sollte, aber eine neue Interop-Owning-Group-Logik verwendet seine gidNumber in OpenLDAP, um ihn trotzdem dieser Gruppe als primäre Gruppe zuzuordnen und die primaryGroupID (Domain-Benutzer) in AD zu überschreiben. Dies verursacht Probleme, wenn ich beispielsweise Benutzern von Gruppe1 den Zugriff verweigern und Benutzern von Gruppe2 erlauben möchte – Benutzer1 verliert nun aufgrund dieser Zuordnung unerwartet den Zugriff, obwohl ich erwarten würde, dass Benutzer1 zugelassen und nur Benutzer2 verweigert wird.
Für Korrekturen und Hinweise hierzu bin ich gerne bereit.