本文由ilanniweb微信公众号提供友情赞助,首发于烂泥行天下
jenkins技术分享QQ群:571981257
前几篇文章中,我们介绍了openldap的基本知识。但是一直没有详解介绍openldap中用户与用户组的对应关系。
这篇文章,我们就来介绍下用户与用户组的对应关系。
一、Posixgroup用户组属性
默认情况下openldap的用户组属性是Posixgroup,Posixgroup用户组属性和用户没有实际的对应关系。如果我们一定要把Posixgroup和user对应起来的话,就需要单独把用户设置到Posixgroup中。
首先在相应的用户组中,添加用户到该用户组中,如下:
通过上图,我们可以很明显的看出Posixgroup用户组属性的成员属性为memberUid。
然后再把该用户的gidNumber设置为上述用户组的gidNumber,如下:
以上设置基本可以满足大部分业务场景的需要,但是如果我们需要根据用户组来过滤用户的话,Posixgroup用户组属性,是无法满足需要的。比如:nginx与openldap集成过滤用户组时、proftpd与openldap集成过滤用户组时、openvpn与openldap集成过滤用户组时、gitlab与openldap集成过滤用户组时,Posixgroup用户组属性是无法满足的。
此时我们就需要使用groupOfUniqueNames用户组属性。
二、GroupOfUniqueNames用户组属性
groupOfUniqueNames用户组属性,是可以根据用户组过滤用户,这个过滤是唯一的。
2.1 导入相关配置
要配置groupOfUniqueNames用户组属性,我们需要在openldap中添加相关的配置,如下:
cat > /root/memberof_load_configure.ldif << “EOF”
ldapadd -Y EXTERNAL -H ldapi:/// -f /root/memberof_load_configure.ldif
cat > /root/refint.ldif << “EOF”
# Load refint module
ldapadd -Y EXTERNAL -H ldapi:/// -f /root/refint.ldif
2.2 导入用户组及用户
以上操作完毕后,我们来创建新的groupOfUniqueNames用户组,并把用户加入到用户组,如下:
cat > /root/add_group.ldif << “EOF”
dn: cn=yunweibu,ou=Group,dc=ilanni,dc=com
objectClass: groupOfUniqueNames
cn: yunweibu
description: 运维部
uniqueMember: uid=ilanni,ou=People,dc=ilanni,dc=com
EOF
ldapadd -x -D cn=root,dc=ilanni,dc=com -w “ilanni” -f /root/add_group.ldif
2.3 查看用户组及用户
通过ldapAdmin查看用户组和用户,如下:
通过上图,我们可以很明显的看出groupOfUniqueNames用户组属性的成员属性为uniqueMember。
如果此时把用户加入到该用户组后,我们是可以在用户组中直接看到该用户的。
也就说使用groupOfUniqueNames用户组属性的组,用户组与用户可以直接进行关联。
除此之外,我们也可以很明显的看出Posixgroup用户组属性
和groupOfUniqueNames用户组属性的图标也有很明显的不同。
当然,我们可以也可以命令进行查看,如下:
ldapsearch -x -LLL -H ldap:/// -x -D cn=root,dc=ilanni,dc=com -w “ilanni” -b uid=ilanni,ou=People,dc=ilanni,dc=com dn uniqueMember
或者
ldapsearch -x -LLL -H ldap://192.168.123.8 -x -D cn=root,dc=ilanni,dc=com -w “ilanni” -b uid=ilanni,ou=People,dc=ilanni,dc=com dn uniqueMember
或者
ldapsearch -x -H ldap://192.168.123.8 -D “cn=root,dc=ilanni,dc=com” -w “ilanni” -b “dc=ilanni,dc=com”
通过上图,我们可以很明显的看出groupOfUniqueNames用户组属性已经配置完毕。
这样第三方在调用openldap进行组过略时,就可以直接使用了。
以上所有的配置,可以通过点我下载。
未经允许不得转载:烂泥行天下 » 烂泥:openldap添加groupOfUniqueNames属性