在我们公司,我们有一个给定的LDAP服务器,代表我们的Windows活动目录的用户。 不幸的是,发送到LDAP客户端的gidNumber始终包含Directory的每个用户的值“1001”。 包含此值的LDAP服务器设置无法更改。
我想实现可以在LDAP服务器上定义的两个用户组。 在LDAP客户端(RHEL 5.8)上,用户组应映射到Linux用户组。 这两个组(“Group1”和“Group2”)可以用这些LDAP语句来标识:
AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com AppRoles=cn=Group2,ou=OU1,ou=Applications,dc=company,dc=com 到目前为止,pam_filter仅用于让一个特定的LDAP用户组访问Linux机器。 而nss_override_attribute_value被用来做一个Linux组映射。 这个设置允许我们在RHEL 5.8上处理一个用户组。 但是它不允许pipe理多个Linux组。
# Override gidNumber Attibute nss_override_attribute_value gidNumber 500 # Filter for only allowing LDAP users in the LDAP Jumphost group to access this Server pam_filter AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com
是否可以在不使用Attribute gidNumber的情况下在LDAPstring和Linux GID之间进行映射?