openldap服务器账号集中管理可以实现这样的需求吗？

骡子先生

最近公司需要对服务器的系统登录账号进行集中认证管理，所以我学习openldap的知识。
我想咨询朋友们，openldap可以实现我的需求吗？

我简单描述一下我的需求：
服务器按应用不同，划分为app01,app02,app03的服务器组；
成员根据部门不同，划分为develop,op的用户组；
每个成员有自己的账号，可以自己修改密码；不同的服务器组有不同的管理员账号root和应用账号oper，密码由专门的管理员manager修改；
服务器组指定给特定的用户组，没有权限的用户组不可以通过ssh访问此服务器组的所有服务器，赋权方式是组to组的方式；
用户登录服务器后，可以通过sudo su - 或者 sudo su - oper切换权限，切换权限认证也要通过openldap。

我这个需求可以实现吗？
我查过openldap的手册，它有ACL，还有sudo-ldap的功能。

谁有这方面的经验，请指导一下。

骡子先生

基本搞定。我说说的方案的细节。

我使用基本sudo的openldap认证。

所有服务器禁止root远程登录，禁止su -，禁止sudo su，主要是限制普通用户切换用户环境，便于记录用户的操作历史。

１）用openldap访问列表，限制ip属性的服务器访问user group的组织单元，达到控制用户的服务器访问权限；
２）不同user group，配置不同的sudo权限，主要是２个属性，sudoRunAsUser与sudoHost，达到控制用户在不同服务器上具有切换不同权限的目的，如产品用户与管理员用户权限。

mengchr

请教哈楼主
你数据库还是用的默认bdb吗？
有配置文档能分享吗？
我想找mysql作为ldap的后台数据库管理，集中管理samba,mail,ftp，PDC
一直没找到合适的文档参照，用mysql做后台数据库