在OpenLDAP中为用户分组选择什么类型的组
我需要知道在LDAP中应该使用什么类型的组对用户进行分组 我基本上需要MemberOf函数,根据组成员资格获得一些权限 例如:在OpenLDAP中为用户分组选择什么类型的组,ldap,openldap,Ldap,Openldap,我需要知道在LDAP中应该使用什么类型的组对用户进行分组 我基本上需要MemberOf函数,根据组成员资格获得一些权限 例如: 使用者 用户1 用户2 用户3 团体 第一组 第2组 用户1是组1和组2的成员 这些组需要是动态的,就像Active Directory一样 这些问题是因为我有以下选择: Samba:组映射 用户组 通用:Posix组 用户也是如此,我应该选择哪一个 通用:用户帐户 Samba:Account 我找不到一个显示差异的好网站,任何链接都会很受欢迎。LDAP/X
- 使用者
- 用户1
- 用户2
- 用户3
- 团体
- 第一组
- 第2组
Samba:组映射
用户组
通用:Posix组
用户也是如此,我应该选择哪一个
通用:用户帐户
Samba:Account
我找不到一个显示差异的好网站,任何链接都会很受欢迎。LDAP/X.500只定义具有成员属性的组对象,用户对象在OpenLDAP中具有memberof属性的反向关系可以通过。NDS/eDir和AD神奇地实现了这一点。LDAP本身不定义动态双向成员/组对象/属性。与该叠加相关的是有助于完成幻觉的叠加(同时也解决了一个群体总是需要至少一名成员的轻微恼人问题)
通常有两种有趣的组类型可供选择,groupOfNames
或groupOfUniqueNames
,第一种groupOfNames
适用于大多数用途。后者,groupOfUniqueNames
,有一个稍微深奥的特性:如果DNs被重新分配给不同的实体,它允许成员在一段时间内保持成员的唯一性。这两种形式都不强制成员列表中的唯一DNs
其他类型的组有不同的用途(由模式和应用程序定义)。不太常见的组类型对象是角色(organizationalRole
type,带有roleOccupant
属性),它隐式用于基于角色的访问控制,但在其他方面与其他组类型类似(感谢提示)
posixGroup
类型表示传统的unix组,由gidNUmber
和清单memberUid'
s标识。它不是DIT中的通用组对象,而是由应用程序(即LDAP客户端层)来实现/观察它
当涉及到用户帐户时,帐户对象类型不应被认为是独占的,每种类型通常以兼容的方式向用户对象添加属性(尽管
objectClass
如果是结构化的,则可以是独占的,这通常不是您需要担心的) 还有organizationalRole
。谢谢我安装了这两个角色,它仍然要求在名称组中加入一名成员。我做错什么了吗?我现在将尝试使用posixGroup,我使用PHPLDAPAdminposixGroup
是为了方便unix风格的组,它包含一个UID列表,就像/etc/group
,我认为它在这里对您没有帮助。我提到的两个普通团体都必须至少有一名成员。否则,如果您在使用memberof
overlay时遇到问题,请将配置作为新问题发布。