Estoy realmente perdido aquí y agradecería algo de ayuda.
Mi organización ya mantiene un servidor OpenLDAP que permite acceso de solo lectura
Al ejecutar esto, obtengo un volcado completo de todos los usuarios, grupos y unidades organizativas de mi organización.
ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com
Esto es bueno, ahora tengo la jerarquía organizacional en mis manos.
A continuación, quiero crear un servidor OpenLDAP y hacer que este servidor "anule" los grupos que no están presentes en el servidor OpenLDAP principal, por ejemplo en el servidor LDAP principal/principal:
Hay uno OU=support
en el que hay cientos de usuarios. Quiero agregar más granularidad a estos usuarios.
Lo que me gustaría hacer en mi servidor LDAP INFANTIL es:
- Crea un nuevo grupo llamado
Support-NewHires
- Agregue una pequeña cantidad de usuarios de
OU=support
este nuevo grupo.
Entonces, cuando uso el servidor LDAP INFANTIL en cualquier lugar e inicio sesión como uno de los usuarios en Support-NewHires
, la consulta LDAP se reenviará al servidor LDAP PARENT (para contraseñas), pero los permisos se establecerán de acuerdo con dónde configuré Support-NewHires
el acceso.
Digamos que John es un nuevo empleado OU=Support
y Jane es una veterana en OU=Support
. Entonces, agrego a John aOU=Support-NewHires
Ahora tengo una aplicación con integración LDAP (VMware vCenter), la integraría con el servidor CHILD LDAP. Estableceré controles de acceso restringidos para OU=Support-NewHires
el grupo y acceso de control total al OU=Support
grupo.
Ahora, cuando John inicie sesión, verá la vista restringida, pero si Jane inicia sesión, obtendrá la vista sin restricciones. No tendré que ocuparme de almacenar ninguna de sus contraseñas u otros detalles, solo susUID=
Tenga en cuenta que yonotener permisos de escritura para acceder al servidor LDAP PADRE.