好的,开始吧。解决这个问题将为我解决几个问题(因为我可以将这些知识重新应用于几个现存的类似问题),但幸运的是,我有一个非常具体、简洁的问题需要描述。
前言就到此为止。我们的托管合作伙伴正在为我们设置 VPN 访问权限并将其连接到我们的 LDAP 服务器。
他们正在使用 Cisco VPN,有关设置的文档如下:
具体来说,请注意 (5) 中“ASDM”下的屏幕截图
现在,我不想为所有用户提供访问权限。我只想为我们的 IT 组提供访问权限。但我没有在 Cisco VPN 的 Web 参考上看到 LDAP 组的配置选项。
我们正在使用:
OpenLDAP 2.4 静态组(即“组具有以下成员...”)单个用户 OU,“ou=users,dc=mycompany,dc=com”
是否可以在 OpenLDAP 中提供某种别名,以创建另一个 OU,例如“itusers”,并允许我以某种方式为该 OU 的成员设置别名?例如:
“cn=杰夫·西尔弗曼,ou=itusers,dc=mycompany,dc=com”
是
“cn=杰夫·西尔弗曼,ou=用户,dc=mycompany,dc=com”
并且不是一个单独的、唯一的用户帐户。
或者,我是否应该创建一个单独的 OU 并单独管理它?这很麻烦,但这样只需要管理 12-15 个用户,使用两个单独的用户帐户。但我讨厌这个选项 - 混乱、难以管理、不可扩展。你知道我的意思。
我愿意接受任何选择。我搜索并阅读了所有内容,但我找不到直接类似的例子。我不可能是唯一遇到这个问题的人!
谢谢!
答案1
我认为你应该能够使用重写/重映射覆盖OpenLDAP 2.4 可以实现此目标,但我没有使用过此覆盖,因此我不确定,也无法提供工作示例。我太懒散了!
答案2
我将为 VPN 连接创建一个新的代理用户。如果您的 IT 用户尚未加入某个组,请将其添加到适当的组中。创建一个过滤器以将 VPN 的 ID 访问权限限制为该组的成员。