我对 OpenLdap 和文件权限有疑问。
首先 - 我在我的 slapd.conf 中设置了这个:
overlay dynlist
dynlist-attrset labeledURIObject labeledURI
其次 - 我使 cn=test,ou=Projects,dc=example,dc=com 具有:
dn: cn=test,ou=Projects,dc=example,dc=com
gidNumber: 6789
objectClass: posixGroup
objectClass: top
objectClass: labeledURIObject
labeledURI: ldap:///cn=testgroup,ou=Groups,dc=example,dc=com?memberUid?sub?
(objectClass=posixGroup)
memberUid: user1 (dynamic)
memberUid: user2 (dynamic)
在 cn=testgroup,ou=Groups,dc=example,dc=com 我有 memberuid: user1 和 memberUid: user2
第三 - 当我进行 getent 组测试时,我有:
test:*:6789:user1,user2
但是当我尝试使用 id user1 时,我没有看到这个组 :(
接下来我设置 chmod 770 dir 和 chown root.test dir 并尝试访问这个目录。
当然这是不可能的,因为用户不在这个组中(即“id”)。
有人知道解决办法吗?
最佳答案
Third - when i made getent group test I have:
test:*:6789:user1,user2
But when i try id user1 i didn't see this group :(
不幸的是,动态列表 (dynlists) 是单向组(不是双向)。这意味着反向查找将不起作用,这会导致您现在面临的问题。无法使用 dynlist 进行反向 posix 组查找。
但是,我相信在 OpenLDAP 站点的某处还有另一个模块可用。它被称为自动分组。这是一个静态组维护者模块。这种分组方法不涉及动态数据,而是由 autogroup 模块自动管理的真实数据。但是,它的配置类似于 dynlist 组,因为它使用 labeledURI 属性来允许可以这么说的“存储过程”。
当我意识到 dynlist 的缺点时,我也很失望,我应该指出 autogroup 仍处于试验阶段。彻底测试并向 OpenLDAP 报告任何错误。
我希望这有助于...
最大
关于linux - Openldap + 动态列表 + posixGroup,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4603570/