Я столкнулся с интересной проблемой при изучении конкретного случая взаимодействия AD/OpenLDAP. На сервере OpenLDAP есть user1, gidNumber которого соответствует group1. Есть еще один user2, gidNumber которого соответствует group2. Однако group1 указывает только user2 в качестве своего члена, group2 указывает их обоих. Как это возможно?
Я ожидал, что gidNumber в средах Linux будет работать аналогично тому, как работает primaryGroupID в AD, но в AD поля memberOf и member правильно связаны друг с другом, а primaryGroupID исключен из этой связи, но пользователь понимается как член своей основной группы. Однако для OpenLDAP нет поля memberOf, и похоже, что указание gidNumber не предоставляет вам членства в группе. Тогда неправильно ли считать user1 членом group1? Есть ли какая-либо документация о правильном поведении в этом случае?
Моя конкретная проблема заключается в том, что в AD пользователь 1 НЕ является членом group1 и не должен им быть, но новая логика группы, владеющей interop, использует его gidNumber в OpenLDAP, чтобы сопоставить его с этой группой как с основной группой, тем не менее, и перезаписать primaryGroupID (Domain Users) в AD. Это вызывает проблемы, если я, например, собираюсь запретить доступ пользователям group1 и разрешить его пользователям group2 — user1 теперь неожиданно теряет доступ из-за этого сопоставления, хотя я ожидал, что user1 будет разрешен, а только user2 будет запрещен.
Буду рад исправлениям и советам по этому поводу.