LDAP를 통해 인증하도록 Apache를 구성하는 것과 관련된 유사한 질문을 본 적이 있지만 이 기본 질문은 여전히 혼란스럽습니다.
내 설정에서는 모두 동일한 기본 GID를 갖는 사용자를 만든 다음 다양한(보조/보조) 그룹에 사용자를 추가했습니다. 저는 이러한 사용자 계정을 테스트했으며 대부분의 상황에서 모든 것이 잘 작동합니다. 즉, 보조 그룹 멤버십을 기반으로 한 권한이 작동하고 있습니다. 저는 이 smbldap-tools패키지를 사용하여 사용자와 그룹을 구성했으며 특히 smbldap-usermod -G +NEW_GROUP user보조 그룹에 사용자를 추가하는 데 사용했습니다.
그렇게 하면 getent group그 보충 그룹과 그 구성원을 볼 수 있습니다. 좋은.
보조 그룹 중 하나에 대한 LDAP 항목을 보면 예상한 대로 모든 사용자가 나열되어 있는 것을 볼 수 있습니다.
하지만,각 사용자의 LDAP 항목을 보면 gidNumber기본 그룹에 해당하는 항목만 나열됩니다. 즉, 각 사용자의 LDAP 항목에는 기본 그룹만 나열되고 보조 그룹에 대한 언급은 없습니다.
Samba/LDAP(smbldap-tools 사용)는 보조/보조 그룹을 어떻게 처리합니까?
또한, 보충 그룹의 구성원을 식별하기 위해 검색 필터를 어떻게 구성할 수 있습니까?
답변1
LDAP는 단지 정보의 디렉토리일 뿐입니다. 해당 정보가 저장되고 검색되는 방법은 애플리케이션에 따라 다릅니다. 이 경우 posix 사용자 및 그룹은 /etc/passwd 및 /etc/group 파일을 모델로 합니다. 각 사용자 항목에는 기본 그룹에 대한 gid가 나열됩니다. 각 그룹에는 모든 구성원이 나열됩니다(일반적으로 해당 그룹을 기본 그룹으로 나열하는 구성원은 적음).
LDAP에 사용자 및 그룹 정보를 저장하는 Samba 및 다양한 nss 플러그인은 모두 로그인 시 사용자가 구성원으로 속한 그룹을 찾기 위해 검색을 수행합니다. 그룹 멤버십 검색을 빠르게 하려면 memberUid 속성을 색인화해야 합니다. 특정 사용자 계정에 대한 검색 필터는 다음과 같습니다.
(&(objectclass=posixGroup)(memberUid=$user))
특정 그룹의 사용자를 보려면 다음을 사용하여 검색할 수 있습니다.
(&(objectclass=posixGroup)(cn=$group))
이는 모든 그룹이 posixGroup objectClass에 속한다고 가정합니다.