В нашей компании у нас есть данный LDAP-сервер, который представляет пользователей нашей Windows Active Directory. К сожалению, gidNumber, отправленный клиенту LDAP, всегда содержит значение «1001» для каждого пользователя Справочника. Настройки LDAP-сервера, включая это значение, не могут быть изменены.
Я хотел бы реализовать две группы пользователей, которые можно определить на сервере LDAP. На стороне клиента LDAP (RHEL 5.8) группы пользователей должны быть сопоставлены с группами пользователей Linux. Две группы («Группа1» и «Группа2») можно идентифицировать с помощью этих операторов LDAP:
AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com
AppRoles=cn=Group2,ou=OU1,ou=Applications,dc=company,dc=com
До сих пор pam_filter использовался только для того, чтобы разрешить доступ к машине Linux только одной определенной группе пользователей LDAP. И nss_override_attribute_value использовался для сопоставления групп Linux. Эта установка позволила нам обрабатывать одну единственную группу пользователей на RHEL 5.8. Но это не позволяет управлять несколькими группами Linux.
# Override gidNumber Attibute
nss_override_attribute_value gidNumber 500
# Filter for only allowing LDAP users in the LDAP Jumphost group to access this Server
pam_filter AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com
Можно ли выполнить сопоставление между строкой LDAP и GID Linux без использования атрибута gidNumber?