我真的迷路了,希望得到一些帮助。
我的组织已经维护了一个允许只读访问的 OpenLDAP 服务器
运行此程序后,我可以获得我组织内所有用户、组和 OU 的完整转储。
ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com
这很好,现在我手里有组织层次结构。
接下来,我想创建一个 OpenLDAP 服务器,并让该服务器“覆盖”父 OpenLDAP 服务器中不存在的组,例如在父/主 LDAP 服务器中:
其中有OU=support100 多位用户。我想为这些用户添加更多粒度。
我想在我的 CHILD LDAP 服务器上执行以下操作:
- 创建一个名为的新组
Support-NewHires OU=support从这个新组中添加少数用户。
因此,当我在任何地方使用子 LDAP 服务器并以其中一个用户身份登录时Support-NewHires,LDAP 查询将被转发到父 LDAP 服务器(用于密码),但权限将根据我配置Support-NewHires访问的位置进行设置。
假设 John 是 的新员工OU=Support,而 Jane 是 的老员工OU=Support。因此,我将 John 添加到OU=Support-NewHires
现在我有一个具有 LDAP 集成的应用程序(VMware vCenter),我将与 CHILD LDAP 服务器集成。我将为组设置受限访问控制,并为组OU=Support-NewHires设置完全控制访问权限OU=Support
现在,当 John 登录时,他将看到受限视图,但如果 Jane 登录,她将获得不受限制的视图。我不需要存储他们的任何密码或其他详细信息,只需存储他们的UID=
请注意我不要具有访问 PARENT LDAP 服务器的写权限。