Encontrei um problema interessante ao examinar um caso específico de interoperabilidade AD/OpenLDAP. No servidor OpenLDAP, existe um usuário1, cujo gidNumber corresponde a um grupo1. Existe outro usuário2, cujo gidNumber corresponde ao grupo2. No entanto, o grupo1 lista apenas o usuário2 como membro, o grupo2 lista os dois. Como isso é possível?
Eu esperava que o gidNumber em ambientes Linux funcionasse de maneira semelhante ao modo como o PrimaryGroupID funciona no AD - mas no AD, os campos memberOf e member estão devidamente vinculados e o PrimaryGroupID é excluído deste link, mas o usuário é entendido como um membro de seu grupo primário. No entanto, para OpenLDAP, não há campo memberOf e parece que especificar um gidNumber não parece conceder a você associação ao grupo. É então incorreto considerar o usuário1 como membro do grupo1? Existe alguma documentação sobre o comportamento adequado neste caso?
Meu problema específico é que no AD, o usuário1 NÃO é membro do grupo1 e não deveria ser, mas uma nova lógica de grupo proprietário de interoperabilidade usa seu gidNumber no OpenLDAP para mapeá-lo para este grupo como um grupo primário e substituir o PrimaryGroupID ( Usuários de domínio) no AD. Isso causa problemas se eu, por exemplo, pretendo negar acesso aos usuários do grupo1 e permiti-lo aos usuários do grupo2 - o usuário1 agora perde o acesso inesperadamente por causa desse mapeamento, embora eu esperasse que o usuário1 fosse permitido e apenas o usuário2 fosse negado.
Ficarei feliz em receber correções e conselhos sobre isso.