我一直在使用一些新的 HP DL360 Gen9 服务器。我试图针对我们的 OpenLDAP 目录配置这些服务器以进行 LDAP 身份验证,但运气不佳。
首先,我们所有用户帐户的专有名称都以“uid=”开头,而不是“cn=”。我们的 LDAP 组自然遵循相同的约定。
因此,用户帐户是 uid=,ou=People,dc=domain,dc=com
并且一个组包含其中列出的这些成员。
这几乎就是所有与 Linux/Unix 客户端配合使用的 LDAP 目录的配置方式。我已经能够成功集成其他几个所谓的“仅 AD 系统”,但这个系统让我困惑。
从我能找到的信息来看,HP 正在寻找 cn 属性,虽然很可爱,但在这种情况下不起作用。我开始怀疑 HP 没有办法做到这一点 - 肯定是他们的一个巨大缺陷。
这里有没有人成功做到了这一点,并让事情顺利进行,或者我应该放弃?
再次感谢!
答案1
标准 OpenLDAP 覆盖确实包含对“memberOf”的支持,甚至在最近的发行版中默认启用。
iLO 4 固件 v2.54下载网站 (hpe.com)增加了对 OpenLDAP 的支持,包括使用具有搜索上下文的短名称进行用户登录的“uid”属性,以及支持正确的 LDAP 标准组成员属性而不是用户的 memberOf 属性。
答案2
是的,在支持非 AD LDAP 服务器时确实存在一些缺点。
如果您省略“目录用户上下文”字段,那么至少您的用户可以使用他们的完整 DN 登录,即 uid=joe,ou=people,dc=example,dc=com,但这显然不是一个很好的解决方案。
至于查看组成员身份,不确定 OpenLDAP 是否支持此功能,但许多其他(尤其是基于 OpenDJ 的)支持虚拟属性,您可以在其中模拟用户记录的虚拟 memberOf 属性,该属性将包含 ou=groups 记录的 DN。根据我看到的 iLO 进行的搜索,我已经从常规 ldapsearch 角度实现了此功能,但尚未完全运行。如果我成功了,我会在这里发布。