我有一个使用Active Directory验证用户的Web应用程序,我正在尝试用OpenLDAP替换AD.
文档说我需要以管理员身份登录域控制器,打开用户管理窗口,单击相应的组织单位并将用户ID添加到适当的组(这些组的范围应为“Global”,组类型为“Security” ).
我需要在OpenLDAP服务器上创建等效条目.有人可以为此提供示例LDIF吗?我不知道类和我应该使用的属性,我无法访问域控制器.最有问题的项似乎是组类型和范围,因为它们似乎是二进制值,而不是字符串.
请注意,我不想完全替换Active Directory – 我只需要用户ID和组.我已经尝试将microsoft.schema添加到OpenLDAP,但它不起作用.我找到了一些有关修改Microsoft Outlook架构的信息;我需要类似但更简单的东西.
将整个ActiveDirectory架构转换为OpenLDAP几乎是不可能的,这是巨大的.但是,我们只能添加所需的属性和类:
attributetype ( 1.2.840.113556.1.4.750 NAME 'groupType' Syntax '1.3.6.1.4.1.1466.115.121.1.27' SINGLE-VALUE ) attributetype ( 1.3.114.7.4.2.0.33 NAME 'memberOf' Syntax '1.3.6.1.4.1.1466.115.121.1.26' ) objectclass ( 1.2.840.113556.1.5.9 NAME 'user' DESC 'a user' SUP organizationalPerson STRUCTURAL MUST ( cn ) MAY ( userPassword $memberOf ) ) objectclass ( 1.2.840.113556.1.5.8 NAME 'group' DESC 'a group of users' SUP top STRUCTURAL MUST ( groupType $cn ) MAY ( member ) )
dn: dc=myCompany objectClass: top objectClass: dcObject objectClass: organization dc: myCompany o: LocalBranch dn: ou=People,dc=myCompany objectClass: top objectClass: organizationalUnit ou: People description: Test database dn: cn=Users,dc=myCompany objectClass: groupOfNames objectClass: top cn: Users member: cn=Manager,cn=Users,dc=myCompany dn: cn=Manager,dc=myCompany objectClass: person objectClass: top cn: Manager sn: Manager userPassword:: e1NIQX1tc0lKSXJCVU1XdmlPRUtsdktmV255bjJuWGM9 dn: cn=ReadWrite,ou=People,dc=myCompany objectClass: group objectClass: top cn: ReadWrite groupType: 2147483650 member: cn=sysconf,dc=myCompany dn: cn=sysopr,dc=myCompany objectClass: user objectClass: organizationalPerson objectClass: person objectClass: top cn: sysopr sn: team memberOf: cn=ReadOnly,dc=myCompany userPassword:: e1NIQX1jUkR0cE5DZUJpcWw1S09Rc0tWeXJBMHNBaUE9
