在我们公司,我们有一个指定的 LDAP 服务器,它代表我们的 Windows Active Directory 的用户。不幸的是,发送给 LDAP 客户端的 gidNumber 对于目录的每个用户始终包含值“1001”。包含此值的 LDAP 服务器设置无法更改。
我想实现两个可以在 LDAP 服务器上定义的用户组。在 LDAP 客户端 (RHEL 5.8),用户组应映射到 Linux 用户组。可以使用以下 LDAP 语句识别这两个组(“Group1”和“Group2”):
AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com
AppRoles=cn=Group2,ou=OU1,ou=Applications,dc=company,dc=com
到目前为止,pam_filter 仅用于允许一个特定的 LDAP 用户组访问 Linux 计算机。而 nss_override_attribute_value 用于进行 Linux 组映射。此设置允许我们在 RHEL 5.8 上处理一个用户组。但它不允许管理多个 Linux 组。
# Override gidNumber Attibute
nss_override_attribute_value gidNumber 500
# Filter for only allowing LDAP users in the LDAP Jumphost group to access this Server
pam_filter AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com
是否可以在不使用属性 gidNumber 的情况下在 LDAP 字符串和 Linux GID 之间建立映射?