我在檢查特定 AD/OpenLDAP 互通案例時遇到了一個有趣的問題。在OpenLDAP伺服器上,有一個user1,其gidNumber對應一個group1。還有一個user2,其gidNumber對應於group2。但是,group1 僅列出 user2 作為其成員,group2 列出兩者。這怎麼可能?
我預計Linux 環境中的gidNumber 的工作方式與AD 中的primaryGroupID 的工作方式類似- 但在AD 中,字段memberOf 和member 正確鏈接在一起,並且primaryGroupID 被排除在該鏈接之外,但用戶被理解為其主要組的成員。然而,對於 OpenLDAP,沒有 memberOf 字段,並且指定 gidNumber 似乎並沒有授予您群組成員資格。那麼將 user1 視為 group1 的成員是否不正確?在這種情況下是否有一些關於正確行為的文件?
我的具體問題是,在AD 中,user1 不是group1 的成員,也不應該是,但新的互通擁有群組邏輯使用OpenLDAP 中的gidNumber 將他對應到該群組作為主要群組,並覆蓋PrimaryGroupID ( AD 上的網域使用者)。例如,如果我打算拒絕群組 1 的用戶訪問並允許群組 2 的用戶訪問,這會導致麻煩 - 用戶 1 現在由於此映射而意外失去訪問權限,儘管我希望允許用戶 1 且僅拒絕用戶 2。
我們很樂意對此進行更正和建議。