Ich versuche herauszufinden, wie ich mein LDAP strukturiere und/oder SSDD so konfiguriere, dass die Mitgliedschaft verschachtelter Gruppen gelesen wird.
Für die normale Gruppenmitgliedschaft funktioniert etwa Folgendes:
DN: cn=server-admins,ou=Groups,dc=example,dc=com
groupOfNames (structural)
posixGroup (auxiliary)
memberUid userName1
memberUid userName2
und die sssd.conf macht so etwas wie:
[sssd]
config_file_version = 2
domains = default
services = nss, pam
full_name_format = %1$s
[domain/default]
debug_level = 2
id_provider = ldap
auth_provider = ldap
cache_credentials = True
ldap_uri = ldaps://ldapserver:636
ldap_search_base = dc=example,dc=com
# start searching here
ldap_user_search_base = ou=People,dc=example,dc=com
# search these people
ldap_group_search_base = ou=Groups,dc=example,dc=com
ldap_group_nesting_level = 10
simple_allow_groups = server-admins
wenn ich id userName1die Mitgliedschaft erhalte server-adminsund mich mit diesem Benutzer anmelden kann.
Ich möchte jedoch so etwas tun:
DN: cn=server-admins,ou=Groups,dc=example,dc=com
groupOfNames (structural)
posixGroup (auxiliary)
member cn=jobTitleGroup1,ou=Roles,dc=example,dc=com
Dann muss die Mitgliedschaft folgende jobTitleGroup1Personen enthalten:
DN: cn=jobTitleGroup1,ou=Roles,dc=example,dc=com
groupOfNames (structural)
posixGroup (auxiliary)
memberUid userName1
memberUid userName2
Das Problem besteht darin, dass sssd scheinbar nur das Attribut „memberUid“ erkennt und die verschachtelte Gruppenmitgliedschaft von nicht sieht/sucht jobTitleGroup1.
Ich weiß also nicht, wie man verschachtelte Gruppen erstellt, und/oder wie man SSDD dazu bringt, die Mitgliedschaft verschachtelter Gruppen zu lesen. Für jede Hilfe wäre ich dankbar.
Antwort1
Zwei Wochen später fand ich die Antwort. Das Problem waren zwei Dinge, eines davon war auf das erste zurückzuführen.
Das erste Problem bestand darin, dass meine Gruppen „groupOfNames“ und das Attribut „member“ verwendeten, weil ich LDAP mit dem Schema rfc2307bis konfiguriert hatte.
Allerdings erkannte sssd die Mitgliedschaft nicht, wenn ich nicht „memberUid“ verwendete. Die memberUid war das zweite Problem.
in sssd.conf unter domain/default brauchte ich folgendes:
[domain/default]
ldap_schema = rfc2307bis
ldap_group_object_class=groupOfNames
ldap_group_member=member
Meine Berechtigungsgruppe könnte also sein:
DN: cn=server-admins,ou=Groups,dc=example,dc=com
groupOfNames (structural)
posixGroup (auxiliary)
member cn=jobTitleGroup1,ou=Roles,dc=example,dc=com
und meine Rollengruppe könnte sein:
DN: cn=jobTitleGroup1,ou=Roles,dc=example,dc=com
groupOfNames (structural)
posixGroup (auxiliary)
member uid=userName1,ou=People,dc=example,dc=com
member uid=userName2,ou=People,dc=example,dc=com