我正在与OpenLDAP中的群组合作,使用rfc2307bis.schema
来应用嵌套或子群组成员资格来取代nis.schema
,因此objectClass groupOfNames
正用于群组。群组成员资格继承是我努力实现的目标。
例如 - 假设engineers
是主要群组,developers
是次要群组。主要engineers
群组是developers
群组的成员,如下所示:
dn: cn=developers,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: developers
gidNumber: 9004
member: cn=engineers,ou=Groups,dc=example,dc=com
description: The Secondary Group
主要群体如下所示:
dn: cn=engineers,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
member: uid=sam,ou=People,dc=example,dc=com
cn: engineers
gidNumber: 9000
description: The Primary Group
运行getent group developers
engineers
成员时,developers
成员不会显示为id sam
成员。另外,运行engineers
只会将Sam显示为主developers
组的成员,但由于developers
记录包含engineers
,因此Sam还应继承engineers
的组成员身份作为会员,Sam是040
的成员。
我通过使用权限为----r----- 1 root developers 28 Dec 4 01:49 /tmp/testfile
的文件进行测试,如下所示:
developers
member: cn=engineers,ou=Groups,dc=example,dc=com
群组中有1个成员:
/tmp/testfile
如果engineers
归developers
所有,我可以读取该文件,但如果它归engineers
所有,即使developers
是其成员,我也无法读取该文件dyngroup.schema
。
然后我开始阅读有关dynlist覆盖和加载dn: cn=dynamic,ou=Groups,dc=example,dc=com
objectClass: groupOfURLs
cn: dynamic
memberURL: ldap:///cn=engineers,ou=Groups,dc=example,dc=com?member?sub (objectClass=groupOfNames)
的想法,可能使用ACL可以实现组继承的总体目标,但如果它真的是动态组,我不完全理解如何执行它我在寻找。这是我认为可行的一个例子。
developers
LDAP testfile
组如何拥有他们不直接拥有的文件的文件权限,但他们是拥有oPDF = ObjCreate("AcroPDF.PDF.1")
oPdf.LoadFile("d:\test2.pdf")
oPDF.SetShowToolbar(false)
的主要群组的成员?