Я действительно заблудился и был бы признателен за помощь.
В моей организации уже используется сервер OpenLDAP, который обеспечивает доступ только для чтения.
Запуск этой команды дает мне полный дамп всех пользователей, групп и организационных подразделений в моей организации.
ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com
Это хорошо, теперь у меня в руках иерархия организации.
Далее я хочу создать сервер OpenLDAP и заставить этот сервер «переопределять» группы, которых нет на родительском сервере OpenLDAP, например, на родительском/главном сервере LDAP:
Есть, OU=support
в котором есть 100 пользователей. Я хочу добавить больше детализации для этих пользователей.
Вот что я хотел бы сделать на своем CHILD LDAP-сервере:
- Создайте новую группу с именем
Support-NewHires
- Добавьте небольшое количество пользователей
OU=support
в эту новую группу.
Таким образом, когда я использую ДОЧЕРНИЙ LDAP-сервер в любом месте и вхожу в систему как один из пользователей в Support-NewHires
, запрос LDAP будет перенаправлен на РОДИТЕЛЬСКИЙ LDAP-сервер (для паролей), но разрешения будут установлены в соответствии с тем, где я настроил Support-NewHires
доступ.
Допустим, Джон — новичок в OU=Support
, а Джейн — ветеран в OU=Support
. Итак, я добавляю Джона вOU=Support-NewHires
Теперь у меня есть приложение с интеграцией LDAP (VMware vCenter), я бы интегрировался с CHILD LDAP сервером. Я установлю ограниченный контроль доступа для OU=Support-NewHires
группы и полный контроль доступа для OU=Support
группы
Теперь, когда Джон войдет в систему, он увидит ограниченный вид, но если Джейн войдет в систему, она получит неограниченный вид. Мне не придется иметь дело с хранением каких-либо их паролей или других данных, только ихUID=
Обратите внимание, что янеиметь права записи для доступа к родительскому серверу LDAP.