OpenLDAP + dynlist + posixGroup

我有问题与OpenLdap和权限文件。

首先 – 我在我的slapd.conf中设置:

overlay dynlist dynlist-attrset labeledURIObject labeledURI 

第二 – 我做cn = test,ou = Projects,dc = example,dc = com with:

 dn: cn=test,ou=Projects,dc=example,dc=com gidNumber: 6789 objectClass: posixGroup objectClass: top objectClass: labeledURIObject labeledURI: ldap:///cn=testgroup,ou=Groups,dc=example,dc=com?memberUid?sub? (objectClass=posixGroup) memberUid: user1 (dynamic) memberUid: user2 (dynamic) 

cn=testgroup,ou=Groups,dc=example,dc=com我有memberuid:user1和memberUid:user2

第三 – 当我做getent小组testing我有:

 test:*:6789:user1,user2 

但是,当我尝试ID用户1我没有看到这个组:(

接下来我设置chmod 770 dirchown root.test dir并尝试访问这个目录。

但是,当然这是不可能的,因为用户不在这个组中(即“id”)。

有谁知道解决scheme?

Solutions Collecting From Web of "OpenLDAP + dynlist + posixGroup"

第三 – 当我做getent小组测试我有:

测试:*:6789:用户1,用户2

但是,当我尝试ID用户1我没有看到这个组:(

不幸的是,动态列表( dynlists )是一种方式(不是两种方式)。 这意味着反向查找将无法正常工作,这会导致您正面临的问题。 有没有办法使反向posix组查找与dynlist的工作。

但是,我相信在OpenLDAP的网站上还有另一个模块可用。 它被称为自动分组 。 这是一个静态组维护者模块。 这种分组方法不涉及动态数据,而是由自动组合模块自动管理的REAL数据。 但是,它被配置为类似于dynlist组,因为它使用labeledURI属性来允许“存储过程”这么说。

当我意识到dynlist的缺点时,我也感到失望,我应该指出, autogroup还是有些实验性的。 彻底测试并向OpenLDAP报告任何错误。

我希望这有帮助…

马克斯

团体在这里没有memberUid而是以这种方式构建的,而是member

 dn: cn=mygroup,ou=groups,o=company objectClass: posixGroup objectClass: top objectClass: groupOfNames cn: mygroup member: uid=user1,ou=users,o=company displayName: mygroup gidNumber: 1234 

模式类型也被设置为RFC2307bis(在sssd.conf ldap_schema = rfc2307bis sssd.conf )。

对于第三个问题,问题是id将使用带有(member = uid = login,…)的ldap请求,而getent组将搜索组(cn = groupname)。 所以第二个触发覆盖,而第一个不(见手册页)。 我也遇到了这个问题,并找到了一些链接: http : //www.openldap.org/lists/openldap-software/200708/msg00250.html和http://www.openldap.org/lists/openldap-devel /200708/msg00127.html 。

到目前为止,我没有找到任何好的解决方案,也许改变nss_ldap会工作(如果你使用它,你没有解释)