烂泥:openldap添加groupOfUniqueNames属性

本文由ilanniweb微信公众号提供友情赞助,首发于烂泥行天下

jenkins技术分享QQ群:571981257

前几篇文章中,我们介绍了openldap的基本知识。但是一直没有详解介绍openldap中用户与用户组的对应关系。

这篇文章,我们就来介绍下用户与用户组的对应关系。

一、Posixgroup用户组属性

默认情况下openldap的用户组属性是Posixgroup,Posixgroup用户组属性和用户没有实际的对应关系。如果我们一定要把Posixgroup和user对应起来的话,就需要单独把用户设置到Posixgroup中。

首先在相应的用户组中,添加用户到该用户组中,如下:

clip_image001

clip_image002

通过上图,我们可以很明显的看出Posixgroup用户组属性的成员属性为memberUid

然后再把该用户的gidNumber设置为上述用户组的gidNumber,如下:

clip_image003

以上设置基本可以满足大部分业务场景的需要,但是如果我们需要根据用户组来过滤用户的话,Posixgroup用户组属性,是无法满足需要的。比如:nginx与openldap集成过滤用户组时、proftpd与openldap集成过滤用户组时、openvpn与openldap集成过滤用户组时、gitlab与openldap集成过滤用户组时,Posixgroup用户组属性是无法满足的。

此时我们就需要使用groupOfUniqueNames用户组属性。

二、GroupOfUniqueNames用户组属性

groupOfUniqueNames用户组属性,是可以根据用户组过滤用户,这个过滤是唯一的。

2.1 导入相关配置

要配置groupOfUniqueNames用户组属性,我们需要在openldap中添加相关的配置,如下:

cat > /root/memberof_load_configure.ldif << “EOF”

clip_image004

ldapadd -Y EXTERNAL -H ldapi:/// -f /root/memberof_load_configure.ldif

clip_image005

cat > /root/refint.ldif << “EOF”

# Load refint module

clip_image006

ldapadd -Y EXTERNAL -H ldapi:/// -f /root/refint.ldif

clip_image007

2.2 导入用户组及用户

以上操作完毕后,我们来创建新的groupOfUniqueNames用户组,并把用户加入到用户组,如下:

cat > /root/add_group.ldif << “EOF”

dn: cn=yunweibu,ou=Group,dc=ilanni,dc=com

objectClass: groupOfUniqueNames

cn: yunweibu

description: 运维部

uniqueMember: uid=ilanni,ou=People,dc=ilanni,dc=com

EOF

ldapadd -x -D cn=root,dc=ilanni,dc=com -w “ilanni” -f /root/add_group.ldif

clip_image008

2.3 查看用户组及用户

通过ldapAdmin查看用户组和用户,如下:

clip_image009

clip_image010

通过上图,我们可以很明显的看出groupOfUniqueNames用户组属性的成员属性为uniqueMember

如果此时把用户加入到该用户组后,我们是可以在用户组中直接看到该用户的。

也就说使用groupOfUniqueNames用户组属性的组,用户组与用户可以直接进行关联。

除此之外,我们也可以很明显的看出Posixgroup用户组属性

和groupOfUniqueNames用户组属性的图标也有很明显的不同。

当然,我们可以也可以命令进行查看,如下:

ldapsearch -x -LLL -H ldap:/// -x -D cn=root,dc=ilanni,dc=com -w “ilanni” -b uid=ilanni,ou=People,dc=ilanni,dc=com dn uniqueMember

或者

ldapsearch -x -LLL -H ldap://192.168.123.8 -x -D cn=root,dc=ilanni,dc=com -w “ilanni” -b uid=ilanni,ou=People,dc=ilanni,dc=com dn uniqueMember

或者

ldapsearch -x -H ldap://192.168.123.8 -D “cn=root,dc=ilanni,dc=com” -w “ilanni” -b “dc=ilanni,dc=com”

clip_image011

通过上图,我们可以很明显的看出groupOfUniqueNames用户组属性已经配置完毕。

这样第三方在调用openldap进行组过略时,就可以直接使用了。

以上所有的配置,可以通过点我下载

未经允许不得转载:烂泥行天下 » 烂泥:openldap添加groupOfUniqueNames属性

赞 (6) 打赏

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

支付宝扫一扫打赏

微信扫一扫打赏