nss ldapd ldap组过滤

Question

我试图通过ldap在AWS中的OpenSSH服务器上为FreeBSD连接设置身份验证。实际的ldap服务器位于AWS外部，并通过Internet访问。

我在限制对服务器的访问方面遇到了问题。当将pam_ldap和nss_ldap与OpenLDAP客户端(PADL版本)一起使用时，使用适当的过滤器，一切都可以正常工作。然而，登录需要几分钟的时间。做了一些阅读后，我切换到nslcd，它似乎加快了很多事情，但我无法使过滤器正常工作，以限制访问。

另外，我注意到用户没有所有的辅助组成员，所以我无法使用不同的pam过滤器或sshd文件中的AllowGroups功能来解决这个问题。

所讨论的ldap服务器是一个庞大的大学范围的安装，因此有成千上万的组。

我尝试了一个类似于下面的过滤器，但没有运气。

过滤passwd (&(objectClass=posixAccount)(memberOf=CN=customgroup，ou=User组，OU=groups，DC=thedomainoftheuniversity，DC=edu)

对于这个过滤器可能有什么问题，或者如何让所有的小组成员出现，我有什么建议吗?这样我就可以使用另一个方法了？

更新:我了解到memberOf属性不是模式的一部分，而且LDAP服务器是eDirectory。我需要找到一种方法，从用户的组过滤。这些组确实实现了posixGroup，并填充了成员属性。

Answer 1

如果eDirectory是您的底层目录服务，那么有几个注释。PosixAccount不是默认的对象类。您的Uni是否承载目录服务，在用户上维护该对象类？

虽然MemberOf本身并不是eDirectory中的一个属性，但这有点用词不当，因为用户类上的属性名称是成员，而且LDAP服务器具有属性映射功能，其中在查询中传入的公共属性被映射到本机属性。因此，在LDAP查询中，memberOf通常被别名为成员。您必须询问目录管理员是否禁用该目录，或为什么禁用该目录。