根据 ldap.conf 中的 LDAP OU 设置 Linux GID

根据 ldap.conf 中的 LDAP OU 设置 Linux GID

在我们公司,我们有一个指定的 LDAP 服务器,它代表我们的 Windows Active Directory 的用户。不幸的是,发送给 LDAP 客户端的 gidNumber 对于目录的每个用户始终包含值“1001”。包含此值的 LDAP 服务器设置无法更改。

我想实现两个可以在 LDAP 服务器上定义的用户组。在 LDAP 客户端 (RHEL 5.8),用户组应映射到 Linux 用户组。可以使用以下 LDAP 语句识别这两个组(“Group1”和“Group2”):

AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com
AppRoles=cn=Group2,ou=OU1,ou=Applications,dc=company,dc=com

到目前为止,pam_filter 仅用于允许一个特定的 LDAP 用户组访问 Linux 计算机。而 nss_override_attribute_value 用于进行 Linux 组映射。此设置允许我们在 RHEL 5.8 上处理一个用户组。但它不允许管理多个 Linux 组。

# Override gidNumber Attibute
nss_override_attribute_value gidNumber 500
# Filter for only allowing LDAP users in the LDAP Jumphost group to access this Server
pam_filter AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com

是否可以在不使用属性 gidNumber 的情况下在 LDAP 字符串和 Linux GID 之间建立映射?

相关内容