Openldap + dynlist + posixGroup

Question

У меня проблема с OpenLdap и разрешением на файл.

Сначала - я установил это в своем slapd.conf:

overlay         dynlist
dynlist-attrset labeledURIObject labeledURI

Второе - я делаю cn = test, ou = Projects, dc = example, dc = com with:

dn: cn=test,ou=Projects,dc=example,dc=com
gidNumber: 6789
objectClass: posixGroup
objectClass: top
objectClass: labeledURIObject
labeledURI: ldap:///cn=testgroup,ou=Groups,dc=example,dc=com?memberUid?sub?
(objectClass=posixGroup)
memberUid: user1 (dynamic)
memberUid: user2 (dynamic)

in cn=testgroup,ou=Groups,dc=example,dc=com У меня есть memberuid: user1 и memberUid: user2

В-третьих, когда я проводил групповой тест, у меня было:

test:*:6789:user1,user2

Но когда я попробовал id user1, я не увидел эту группу: (

И затем я устанавливаю chmod 770 dir и chown root.test dir и пытаюсь получить доступ к этому каталогу.

Но, конечно, это невозможно, потому что пользователь не входит в эту группу (который сказал "id").

Кто-нибудь знает решение?

Answer 1

В-третьих, когда я сделал тест группы getent, у меня было:

test: *: 6789: user1, user2

Но когда я попробовал id user1, я не увидел эту группу: (

К сожалению, динамические списки ( dynlists ) являются группами ОДНОГО пути (не ДВА)). Это означает, что обратный поиск не будет работать, что является причиной самой проблемы, с которой вы сейчас сталкиваетесь. Невозможно заставить обратный поиск по группе posix работать с dynlist .

HOWEVER,Я полагаю, что на сайте OpenLDAP есть еще один модуль, который называется autogroup . Это модуль сопровождения статической группы. Этот метод группировки не включает динамические данные, а РЕАЛЬНЫЕ данные, которые автоматическиуправляется модулем autogroup , однако он настроен аналогично группе dynlist , так как использует атрибут labeleledURI , чтобы разрешить, так сказать, «хранимую процедуру».

Я тоже был разочарован, когда понял, чтоНедостатки dynlist , и я должен отметить, что autogroup все еще несколько экспериментален.Тщательно протестируйте и сообщите о любых ошибках в OpenLDAP.

Надеюсь, это поможет ...

Макс

Answer 2

В третьей проблеме проблема в том, что id будет использовать запрос ldap с (member = uid = login, ...), в то время как getent group будет искать группу (cn = groupname). Таким образом, второй запускает оверлей, а первый - нет (см. Справочную страницу). Я также столкнулся с проблемой, и нашел несколько ссылок на нее: http://www.openldap.org/lists/openldap-software/200708/msg00250.html и http://www.openldap.org/lists/openldap-devel/200708/msg00127.html.

Пока что я не нашел хорошего решения, может быть, изменение nss_ldap сработало бы (если вы его используете, чего вы не объяснили)

Answer 3

Группы создаются здесь таким образом без memberUid, но member:

dn: cn=mygroup,ou=groups,o=company
objectClass: posixGroup
objectClass: top
objectClass: groupOfNames
cn: mygroup
member: uid=user1,ou=users,o=company
displayName: mygroup
gidNumber: 1234

Тип схемы также должен быть установлен в RFC2307bis (ldap_schema = rfc2307bis в sssd.conf).