好的,在这里。 解决这个问题将为我解决几个问题(因为我可以将这个知识重新应用于几个现存的类似的问题),但幸运的是我有一个非常具体的,简洁的问题来描述。
足够的序言。 我们的托pipe合作伙伴正在为我们设置VPN访问,并将其连接到我们的LDAP服务器。
他们正在使用思科VPN,设置这个文件在这里:
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00808c3c45.shtml#maintask1
具体来说,请注意(5)中的截图,在“ASDM”
现在,我不想为所有用户提供访问权限。 我只想提供访问我们的IT小组。 但是我没有看到Cisco VPN的该Web引用的LDAP组的configuration选项。
我们正在使用:
OpenLDAP 2.4静态组(即“组有以下成员…”)单用户OU,“ou = users,dc = mycompany,dc = com”
是否有可能在OpenLDAP中提供某种别名来创build另一个OU,“itusers”,并且让我以某种方式别名该OU的成员? 就像是:
“cn = Jeff Silverman,ou = itusers,dc = mycompany,dc = com”
是别名
“cn = Jeff Silverman,ou = users,dc = mycompany,dc = com”
而不是一个单独的,唯一的用户帐户。
或者,我应该创build一个单独的OU并分别pipe理它? 这是一个痛苦,但只有12-15用户将不得不这样pipe理,用两个独立的用户帐户。 但我讨厌这个选项 – 凌乱,难以pipe理,不可扩展。 你知道我的意思。
我愿意接受任何select。 我已经search了一遍,但我不能find一个直接analagous的例子。 我不可能成为唯一有这个问题的人!
谢谢!
我认为你应该能够使用OpenLDAP 2.4的Rewrite / Remap Overlay来实现这个目标,但是我没有使用这个覆盖,所以我不能确定,也不能提供一个工作的例子。 我很休闲!
我会创build一个新的代理用户为VPN连接。 将您的IT用户添加到适当的组,如果他们不在一个。 创build一个filter,以限制VPN的ID访问该组的成员。