2

我对 OpenLdap 和文件权限有疑问。

首先 - 我在我的 slapd.conf 中设置了这个:

overlay         dynlist
dynlist-attrset labeledURIObject labeledURI

第二 - 我使 cn=test,ou=Projects,dc=example,dc=com 与:

dn: cn=test,ou=Projects,dc=example,dc=com
gidNumber: 6789
objectClass: posixGroup
objectClass: top
objectClass: labeledURIObject
labeledURI: ldap:///cn=testgroup,ou=Groups,dc=example,dc=com?memberUid?sub?
(objectClass=posixGroup)
memberUid: user1 (dynamic)
memberUid: user2 (dynamic)

cn=testgroup,ou=Groups,dc=example,dc=com我有 memberuid: user1 和 memberUid: user2

第三 - 当我进行 getent 组测试时,我有:

test:*:6789:user1,user2

但是当我尝试 id user1 我没有看到这个组:(

接下来我设置chmod 770 dirchown root.test dir尝试访问该目录。

但当然这是不可能的,因为用户不在这个组中(即“id”)。

有谁知道解决方案?

4

3 回答 3

1

第三 - 当我进行 getent 组测试时,我有:

测试:*:6789:user1,user2

但是当我尝试 id user1 我没有看到这个组:(

不幸的是,动态列表(dynlists)是一种方式组(不是两种方式)。这意味着反向查找将不起作用,这会导致您现在面临的问题。没有办法使反向 posix 组查找与dynlist一起工作。

但是,我相信 OpenLDAP 站点上的某个地方还有另一个模块可用。它被称为自动组。这是一个静态组维护模块。这种分组方法不涉及动态数据,而是由autogroup模块自动管理的 REAL 数据。但是,它的配置类似于dynlist组,因为它使用labeledURI属性来允许所谓的“存储过程”。

当我意识到dynlist的缺点时,我也很失望,我应该指出autogroup仍然是实验性的。彻底测试并向 OpenLDAP 报告任何错误。

我希望这有帮助...

最大限度

于 2013-07-21T00:28:37.213 回答
0

对于第三个问题,问题是 id 将使用带有 (member=uid=login,... ) 的 ldap 请求,而 getent group 将搜索组 (cn=groupname )。所以第二个触发覆盖,而第一个不触发(参见手册页)。我也遇到了这个问题,并找到了一些关于它的链接: http ://www.openldap.org/lists/openldap-software/200708/msg00250.html和http://www.openldap.org/lists/openldap-devel /200708/msg00127.html

到目前为止,我没有找到任何好的解决方案,也许改变 nss_ldap 会起作用(如果你使用它,你没有解释)

于 2011-04-25T16:55:01.237 回答
0

组在这里以这种方式构造,没有memberUid, 但是member

dn: cn=mygroup,ou=groups,o=company
objectClass: posixGroup
objectClass: top
objectClass: groupOfNames
cn: mygroup
member: uid=user1,ou=users,o=company
displayName: mygroup
gidNumber: 1234

模式类型也将设置为 RFC2307bis ( ldap_schema = rfc2307bisin sssd.conf)。

于 2011-01-05T13:06:06.167 回答