我对openldap和文件权限有问题。
首先-我在slapd.conf中设置:
overlay dynlist
dynlist-attrset labeledURIObject labeledURI
第二个-i使cn=test,ou=projects,dc=example,dc=com具有:
dn: cn=test,ou=Projects,dc=example,dc=com
gidNumber: 6789
objectClass: posixGroup
objectClass: top
objectClass: labeledURIObject
labeledURI: ldap:///cn=testgroup,ou=Groups,dc=example,dc=com?memberUid?sub?
(objectClass=posixGroup)
memberUid: user1 (dynamic)
memberUid: user2 (dynamic)
在
cn=testgroup,ou=Groups,dc=example,dc=com中,我有memberuid:user1和memberuid:user2第三-当我做了Getent小组测试时,我有:
test:*:6789:user1,user2
但是当我尝试id user1时,我没有看到这个组:(
接下来我设置
chmod 770 dir和chown root.test dir并尝试访问这个目录。但这当然是不可能的,因为用户不在这个组中(即“id”)。
有人知道解决办法吗?
最佳答案
第三-当我做了Getent小组测试时,我有:
测试:*:6789:user1,user2
但是当我尝试id user1时,我没有看到这个组:(
不幸的是,动态列表(dynlists)是单向组(而不是双向组)。这意味着反向查找不起作用,这就导致了您现在面临的问题。无法使反向posix组查找与dynlist一起工作。
不过,我相信openldap站点上还有另一个模块。这叫做自动组队。这是一个静态组维护器模块。这种分组方法不涉及动态数据,而是由自动分组模块自动管理的真实数据。但是,它的配置类似于dynlist组,因为它使用labeleduri属性来允许可以这么说的“存储过程”。
当我意识到dynlist的缺点时,我也很失望,我应该指出autogroup仍然是一个实验。彻底测试并向openldap报告任何错误。
我希望这能有帮助…
马克斯