Estoy realmente perdido aquí y agradecería algo de ayuda.
Mi organización ya mantiene un servidor OpenLDAP que permite acceso de solo lectura
Al ejecutar esto, obtengo un volcado completo de todos los usuarios, grupos y unidades organizativas de mi organización.
ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com
Esto es bueno, ahora tengo la jerarquía organizacional en mis manos.
A continuación, quiero crear un servidor OpenLDAP y hacer que este servidor "anule" los grupos que no están presentes en el servidor OpenLDAP principal, por ejemplo en el servidor LDAP principal/principal:
Hay uno OU=supporten el que hay cientos de usuarios. Quiero agregar más granularidad a estos usuarios.
Lo que me gustaría hacer en mi servidor LDAP INFANTIL es:
- Crea un nuevo grupo llamado
Support-NewHires - Agregue una pequeña cantidad de usuarios de
OU=supporteste nuevo grupo.
Entonces, cuando uso el servidor LDAP INFANTIL en cualquier lugar e inicio sesión como uno de los usuarios en Support-NewHires, la consulta LDAP se reenviará al servidor LDAP PARENT (para contraseñas), pero los permisos se establecerán de acuerdo con dónde configuré Support-NewHiresel acceso.
Digamos que John es un nuevo empleado OU=Supporty Jane es una veterana en OU=Support. Entonces, agrego a John aOU=Support-NewHires
Ahora tengo una aplicación con integración LDAP (VMware vCenter), la integraría con el servidor CHILD LDAP. Estableceré controles de acceso restringidos para OU=Support-NewHiresel grupo y acceso de control total al OU=Supportgrupo.
Ahora, cuando John inicie sesión, verá la vista restringida, pero si Jane inicia sesión, obtendrá la vista sin restricciones. No tendré que ocuparme de almacenar ninguna de sus contraseñas u otros detalles, solo susUID=
Tenga en cuenta que yonotener permisos de escritura para acceder al servidor LDAP PADRE.