我正在与OpenLDAP中的群组合作,使用rfc2307bis.schema来应用嵌套或子群组成员资格来取代nis.schema,因此objectClass groupOfNames正用于群组。群组成员资格继承是我努力实现的目标。
例如 - 假设engineers是主要群组,developers是次要群组。主要engineers群组是developers群组的成员,如下所示:
dn: cn=developers,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
cn: developers
gidNumber: 9004
member: cn=engineers,ou=Groups,dc=example,dc=com
description: The Secondary Group
主要群体如下所示:
dn: cn=engineers,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
objectClass: posixGroup
member: uid=sam,ou=People,dc=example,dc=com
cn: engineers
gidNumber: 9000
description: The Primary Group
运行getent group developers engineers成员时,developers成员不会显示为id sam成员。另外,运行engineers只会将Sam显示为主developers组的成员,但由于developers记录包含engineers,因此Sam还应继承engineers的组成员身份作为会员,Sam是040的成员。
我通过使用权限为----r----- 1 root developers 28 Dec 4 01:49 /tmp/testfile
的文件进行测试,如下所示:
developers member: cn=engineers,ou=Groups,dc=example,dc=com
群组中有1个成员:
/tmp/testfile如果engineers归developers所有,我可以读取该文件,但如果它归engineers所有,即使developers是其成员,我也无法读取该文件dyngroup.schema。
然后我开始阅读有关dynlist覆盖和加载dn: cn=dynamic,ou=Groups,dc=example,dc=com
objectClass: groupOfURLs
cn: dynamic
memberURL: ldap:///cn=engineers,ou=Groups,dc=example,dc=com?member?sub (objectClass=groupOfNames)
的想法,可能使用ACL可以实现组继承的总体目标,但如果它真的是动态组,我不完全理解如何执行它我在寻找。这是我认为可行的一个例子。
developers LDAP testfile组如何拥有他们不直接拥有的文件的文件权限,但他们是拥有oPDF = ObjCreate("AcroPDF.PDF.1")
oPdf.LoadFile("d:\test2.pdf")
oPDF.SetShowToolbar(false)
的主要群组的成员?