我正在尝试设置一个 LDAP“隧道”来解决需要与我的环境略有不同的配置的应用程序。
我需要能够以 USER1 的身份绑定到 LDAP 服务器并检索该用户无权访问但第二个用户 (USER2) 可以访问的数据。实际上,身份验证应该是 USER1,然后使用 USER2 进行数据检索以进行授权。
到目前为止,我已经研究过使用 OpenLDAP 的“元”后端来设置一种隧道,但似乎无法正确配置。这是我在元服务器上运行的配置,尝试通过隧道连接到 SERVER1(真实服务器)。
database meta
suffix o=me
uri "ldap://SERVER1/o=me"
我尝试了不同的变化,但都无法得到任何有效的结果。USER1 是原始的低权限用户,而 USER2 是升级的用户。
idassert-bind bindmethod=simple binddn="cn=USER2,o=me" credentials="secret" mode=none
idassert-authzFrom "dn.exact:cn=USER1,o=me"
“测试”案例如下:
ldapsearch -h METASERVER -D "cn=USER1,o=me" -W -x -b "ou=what,o=me" cn=somethinghidden