저는 여기서 정말 길을 잃었습니다. 도움을 주시면 감사하겠습니다.
우리 조직은 이미 읽기 전용 액세스를 허용하는 OpenLDAP 서버를 유지 관리하고 있습니다.
이를 실행하면 내 조직의 모든 사용자, 그룹 및 OU에 대한 전체 덤프가 제공됩니다.
ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com
좋습니다. 이제 조직 계층 구조를 손에 넣었습니다.
다음으로 OpenLDAP 서버를 생성하고 이 서버가 상위 OpenLDAP 서버에 없는 그룹을 "재정의"하도록 하려고 합니다. 예를 들어 상위/기본 LDAP 서버에 있는 경우:
OU=support100명의 사용자가 있는 곳이 있습니다 . 이러한 사용자에게 더 세분성을 추가하고 싶습니다.
내 CHILD LDAP 서버에서 수행하고 싶은 작업은 다음과 같습니다.
- 라는 이름의 새 그룹을 만듭니다.
Support-NewHires OU=support이 새 그룹에서 소수의 사용자를 추가합니다 .
따라서 어디에서나 CHILD LDAP 서버를 사용하고 의 사용자 중 하나로 로그인하면 Support-NewHiresLDAP 쿼리가 PARENT LDAP 서버(비밀번호용)로 전달되지만 권한은 Support-NewHires액세스하도록 구성한 위치에 따라 설정됩니다.
John이 의 신입 사원 OU=Support이고 Jane이 의 베테랑이라고 가정해 보겠습니다 OU=Support. 그래서 John을 추가합니다.OU=Support-NewHires
이제 LDAP 통합(VMware vCenter)이 포함된 애플리케이션이 있으므로 CHILD LDAP 서버와 통합하겠습니다. 그룹 에 대해 제한된 액세스 제어를 설정 하고 그룹 OU=Support-NewHires에 대한 모든 권한 액세스를 설정하겠습니다.OU=Support
이제 John이 로그인하면 제한된 보기가 표시되지만 Jane이 로그인하면 무제한 보기가 표시됩니다. 나는 그들의 비밀번호나 기타 세부 정보를 저장하는 일을 할 필요가 없습니다.UID=
참고로 나는하지 마라상위 LDAP 서버에 액세스할 수 있는 쓰기 권한이 있습니다.