Encontré un problema interesante al examinar un caso específico de interoperabilidad AD/OpenLDAP. En el servidor OpenLDAP, hay un usuario1, cuyo gidNumber corresponde a un grupo1. Hay otro usuario2, cuyo gidNumber corresponde al grupo2. Sin embargo, el grupo1 enumera solo al usuario2 como miembro, el grupo2 los enumera a ambos. ¿Cómo es esto posible?
Esperaba que gidNumber en entornos Linux funcionara de manera similar a cómo funciona PrimaryGroupID en AD, pero en AD, los campos memberOf y member están vinculados correctamente y PrimaryGroupID está excluido de este enlace, pero el usuario se entiende como miembro de su grupo principal. Sin embargo, para OpenLDAP, no hay ningún campo memberOf y parece que especificar un gidNumber no parece otorgarle membresía al grupo. ¿Es entonces incorrecto considerar al usuario1 como miembro del grupo1? ¿Existe alguna documentación sobre el comportamiento adecuado en este caso?
Mi problema específico es que en AD, el usuario1 NO es miembro del grupo1 y no debería serlo, pero una nueva lógica de grupo propietario de interoperabilidad usa su gidNumber en OpenLDAP para asignarlo a este grupo como un grupo primario y sobrescribir el PrimaryGroupID ( Usuarios de dominio) en AD. Esto causa problemas si, por ejemplo, tengo la intención de negar el acceso a los usuarios del grupo1 y permitirlo a los usuarios del grupo2; el usuario1 ahora pierde acceso inesperadamente debido a esta asignación, aunque esperaría que se permitiera al usuario1 y solo se le negara al usuario2.
Estaré encantado de recibir correcciones y consejos al respecto.