我真的在這裡迷路了,希望得到一些幫助。
我的組織已經維護了一個允許只讀存取的 OpenLDAP 伺服器
執行此命令可為我提供組織中所有使用者、群組和 OU 的完整轉儲。
ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com
這很好,現在組織架構在我手上了。
接下來,我想建立一個 OpenLDAP 伺服器,並讓該伺服器「覆蓋」父 OpenLDAP 伺服器中不存在的群組,例如在父/主 LDAP 伺服器中:
其中OU=support有數百名用戶。我想為這些用戶添加更多粒度。
我想在我的 CHILD LDAP 伺服器上執行以下操作:
- 建立一個新群組,名為
Support-NewHires OU=support從這個新群組中新增少量使用者。
因此,當我在任何地方使用 CHILD ldap 伺服器並作為 中的使用者之一登入時Support-NewHires,LDAP 查詢將被轉送到 PARENT LDAP 伺服器(用於密碼),但權限將根據我配置的Support-NewHires存取位置進行設定。
假設 John 是 的新員工OU=Support,Jane 是 的老員工OU=Support。所以,我將約翰加入到OU=Support-NewHires
現在我有一個具有 LDAP 整合的應用程式 (VMware vCenter),我將與 CHILD LDAP 伺服器整合。我將為群組設置受限訪問控制和對群組OU=Support-NewHires的完全控制訪問OU=Support
現在,當約翰登入時,他將看到受限視圖,但如果簡登錄,她將看到不受限制的視圖。我不必處理存儲他們的任何密碼或其他詳細信息,只需存儲他們的UID=
請注意,我不要具有存取父 LDAP 伺服器的寫入權限。