группы Linux на основе dn из ldap

Да.

В файле конфигурации nss_ldap установите nss_schema:

nss_schema rfc2307bis

На вашем сервере в схеме убедитесь, что класс объекта posixGroup является вспомогательным, а не структурным.

Затем вы можете использовать как объектные классы groupofmembers (новые), так и groupofnames (старые) и posixgroup для каждой группы. Каждый участник будет в атрибуте участника:

dn: cn=foo,ou=Groups,dc=example
objectclass: top
objectclass: posixgroup
objectclass: groupofmembers
gidnumber: 9234
member: uid=bob,ou=people,dc=example
member: uid=alice,ou=people,dc=example

Чтобы получить groupOfMembers схема, вы можете либо извлеките это из RFC, или используйте вот этот это было сделано для вас, и сохраните его в /etc/openldap/schema/rfc2307bis.schema. Эта схема заменяет nis schema, поэтому сначала удалите ее.

Если вы используете cn=config бэкэнд

1. создать файл convert-schema.conf содержащий

   include /etc/openldap/schema/core.schema
   include /etc/openldap/schema/cosine.schema
   include /etc/openldap/schema/rfc2307bis.schema
   

2. создать каталог с именем /tmp/converted
3. преобразовать схему в ldif: slaptest -f convert-schema.conf -F /tmp/convert/
   • Исправьте все ошибки, включая удаление апострофов в значениях и удаление ссылок на атрибут authPassword до тех пор, пока slaptest преуспевает
4. копировать /tmp/convert/cn=config/cn=schema/cn={2}rfc2307bis.ldif к /etc/openldap/rfc2307bis.ldif
5. модифицировать rfc2307bis.ldif
   • измените первую строку на dn: cn=rfc2307bis,cn=schema,cn=config
   • измените третью строку на cn: rfc2307bis
   • удалите семь строк в конце (structuralObjectClass через modifyTimestamp)
6. импортировать схему ldif:
   ldapadd -f rfc2307bis.ldif -D "cn=admin,cn=config" -W