Estou realmente perdido aqui e gostaria de receber ajuda.
Minha organização já mantém um servidor OpenLDAP que permite acesso somente leitura
Executar isso me dá um despejo completo de todos os usuários, grupos e unidades organizacionais da minha organização.
ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com
Isso é bom, agora tenho a hierarquia da organização em mãos.
Em seguida, quero criar um servidor OpenLDAP e fazer com que esse servidor "substitua" grupos que não estão presentes no servidor OpenLDAP pai, por exemplo, no servidor LDAP pai/principal:
Existe um OU=support
em que há centenas de usuários. Quero adicionar mais granularidade a esses usuários.
O que eu gostaria de fazer no meu servidor LDAP CHILD é:
- Crie um novo grupo chamado
Support-NewHires
- Adicione um pequeno número de usuários
OU=support
neste novo grupo.
Portanto, quando eu uso o servidor LDAP CHILD em qualquer lugar e faço login como um dos usuários em Support-NewHires
, a consulta LDAP será encaminhada para o servidor LDAP PARENT (para senhas), mas as permissões seriam definidas de acordo com onde eu configurei Support-NewHires
para acessar.
Digamos que John seja um novo contratado OU=Support
e Jane seja uma veterana em OU=Support
. Então, eu adiciono John aOU=Support-NewHires
Agora tenho uma aplicação com integração LDAP (VMware vCenter), gostaria de integrar com servidor LDAP CHILD. Definirei controles de acesso restritos para OU=Support-NewHires
o grupo e acesso com controle total ao OU=Support
grupo
Agora, quando John fizer login, ele verá a visualização restrita, mas se Jane fizer login, ela obterá a visualização irrestrita. Não terei que armazenar nenhuma de suas senhas ou outros detalhes, apenas seusUID=
Observe que eunãoter permissões de gravação para acessar o servidor LDAP PARENT.