嵌套组的LDAP组成员资格继承

时间:2016-12-04 17:44:57

标签: inheritance ldap openldap active-directory-group

我正在与OpenLDAP中的群组合作,使用rfc2307bis.schema来应用嵌套或子群组成员资格来取代nis.schema,因此objectClass groupOfNames正用于群组。群组成员资格继承是我努力实现的目标。

例如 - 假设engineers是主要群组,developers是次要群组。主要engineers群组是developers群组的成员,如下所示:

中学组

dn: cn=developers,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: developers
gidNumber: 9004
member: cn=engineers,ou=Groups,dc=example,dc=com
description: The Secondary Group

主要群体如下所示:

小组

dn: cn=engineers,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
member: uid=sam,ou=People,dc=example,dc=com
cn: engineers
gidNumber: 9000
description: The Primary Group

运行getent group developers engineers成员时,developers成员不会显示为id sam成员。另外,运行engineers只会将Sam显示为主developers组的成员,但由于developers记录包含engineers,因此Sam还应继承engineers的组成员身份作为会员,Sam是040的成员。

我通过使用权限为----r----- 1 root developers 28 Dec 4 01:49 /tmp/testfile 的文件进行测试,如下所示:

developers

member: cn=engineers,ou=Groups,dc=example,dc=com 群组中有1个成员:

/tmp/testfile

如果engineersdevelopers所有,我可以读取该文件,但如果它归engineers所有,即使developers是其成员,我也无法读取该文件dyngroup.schema

然后我开始阅读有关dynlist覆盖和加载dn: cn=dynamic,ou=Groups,dc=example,dc=com objectClass: groupOfURLs cn: dynamic memberURL: ldap:///cn=engineers,ou=Groups,dc=example,dc=com?member?sub (objectClass=groupOfNames) 的想法,可能使用ACL可以实现组继承的总体目标,但如果它真的是动态组,我不完全理解如何执行它我在寻找。这是我认为可行的一个例子。

developers

LDAP testfile组如何拥有他们不直接拥有的文件的文件权限,但他们是拥有oPDF = ObjCreate("AcroPDF.PDF.1") oPdf.LoadFile("d:\test2.pdf") oPDF.SetShowToolbar(false) 的主要群组的成员?

0 个答案:

没有答案