在OpenLDAP中为用户分组选择什么类型的组

我需要知道在LDAP中应该使用什么类型的组对用户进行分组

我基本上需要MemberOf函数，根据组成员资格获得一些权限

例如：

• 使用者
  • 用户1
  • 用户2
  • 用户3
• 团体
  • 第一组
  • 第2组

用户1是组1和组2的成员

这些组需要是动态的，就像Active Directory一样

这些问题是因为我有以下选择：

Samba：组映射

用户组

通用：Posix组

用户也是如此，我应该选择哪一个

通用：用户帐户

Samba:Account

我找不到一个显示差异的好网站，任何链接都会很受欢迎。

LDAP/X.500只定义具有成员属性的组对象，用户对象在OpenLDAP中具有memberof属性的反向关系可以通过。NDS/eDir和AD神奇地实现了这一点。LDAP本身不定义动态双向成员/组对象/属性。与该叠加相关的是有助于完成幻觉的叠加（同时也解决了一个群体总是需要至少一名成员的轻微恼人问题）

通常有两种有趣的组类型可供选择，

groupOfNames

或

groupOfUniqueNames

，第一种

groupOfNames

适用于大多数用途。后者，

groupOfUniqueNames

，有一个稍微深奥的特性：如果DNs被重新分配给不同的实体，它允许成员在一段时间内保持成员的唯一性。这两种形式都不强制成员列表中的唯一DNs

其他类型的组有不同的用途（由模式和应用程序定义）。不太常见的组类型对象是角色（

organizationalRole

type，带有

roleOccupant

属性），它隐式用于基于角色的访问控制，但在其他方面与其他组类型类似（感谢提示）

posixGroup

类型表示传统的unix组，由

gidNUmber

和清单

memberUid'

s标识。它不是DIT中的通用组对象，而是由应用程序（即LDAP客户端层）来实现/观察它

---

当涉及到用户帐户时，帐户对象类型不应被认为是独占的，每种类型通常以兼容的方式向用户对象添加属性（尽管

objectClass

如果是结构化的，则可以是独占的，这通常不是您需要担心的）

还有

organizationalRole

。谢谢我安装了这两个角色，它仍然要求在名称组中加入一名成员。我做错什么了吗？我现在将尝试使用posixGroup，我使用PHPLDAPAdmin

posixGroup

是为了方便unix风格的组，它包含一个UID列表，就像

/etc/group

，我认为它在这里对您没有帮助。我提到的两个普通团体都必须至少有一名成员。否则，如果您在使用

memberof

overlay时遇到问题，请将配置作为新问题发布。