Как ограничить доступ к услуге для группы пользователей, используя OpenLDAP, и только OU

Хорошо, поехали. Решение этой проблемы решит для меня несколько проблем (поскольку я могу повторно применить эти знания к нескольким существующим аналогичным проблемам), но, к счастью, у меня есть очень конкретная и краткая проблема, которую нужно описать.

Довольно преамбулы. Наш хостинг-партнер настраивает для нас доступ к VPN и подключает его к нашему серверу LDAP.

Они используют Cisco VPN, документация по настройке здесь:

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00808c3c45.shtml#maintask1

В частности, обратите внимание на снимок экрана в (5) под «ASDM»

Теперь я НЕ хочу предоставлять доступ всем нашим пользователям. Я только хочу предоставить доступ нашей ИТ-группе. Но я не вижу вариант конфигурации для групп LDAP в этой веб-ссылке для Cisco VPN.

Мы используем:

Статические группы OpenLDAP 2.4 (например, «Группа состоит из следующих членов ...») Однопользовательское подразделение, «ou = users, dc = mycompany, dc = com»

Можно ли предоставить какой-либо псевдоним в OpenLDAP, который создает другое OU, скажем, "itusers", и позволяет мне каким-то образом создавать псевдонимы для членов этого OU? Что-то вроде:

"cn = Джефф Сильверман, ou = itusers, dc = mycompany, dc = com"

это псевдоним для

"cn = Джефф Сильверман, ou = users, dc = mycompany, dc = com"

И НЕ является отдельной уникальной учетной записью пользователя.

В качестве альтернативы, я должен просто создать отдельное подразделение и управлять им отдельно? Это неудобно, но таким образом придется управлять только 12-15 пользователями с двумя отдельными учетными записями. Но я ненавижу этот вариант - беспорядочный, неуправляемый, не масштабируемый. Если вы понимаете, о чем я.

Я открыт для любых вариантов. Я искал и читал повсюду, но не могу найти прямо аналогичный пример. Я не могу быть единственным, у кого была эта проблема!

Спасибо!