“用户组”是 UNIX 中的一个常见概念,许多 Linux 发行版(例如 Debian)都将其作为默认概念。这意味着每个用户都有其对应的私有组(例如,用户“alex”也有一个组“alex”,这是他的主 GID)。
现在,当您在 LDAP 中拥有用户数据库(例如 openldap 并使用 libnss-ldap)时,为每个用户创建一个对象并同时为该用户分配对象类(例如 posixAccount、shadowAccount、sambaSamAccount)和为该组分配类(例如 posixGroup)有什么问题吗?
答案1
IIRC 对象类所需的属性posixAccount是,gidNumber在 Linux 系统上,gidNumber 不需要解析为更人性化可读的组名;无论如何,您的系统只会将 GID 编号转换为名称以方便用户使用。
这并不是说你不会收到警告……
至于将 objectClass=posixAccount和添加objectClass=posixGroup到同一个DN?不知道是否可以,也不知道是否可行。先验地,我不明白为什么不行,因为技术原因,但测试会解决这个问题。
我对违背惯例的建议是,维持它永远会成为一场噩梦......