openldap的schema中怎么没有memberOf属性？

knightmade

想用ldap管理组织机构和用户，其中需要维护group和user之间的映射关系。

groupOfNames有一个属性可以用来维护group下的user，如：

1. dn: cn=hr,ou=group,dc=example,dc=com
   
2. cn: hr
   
3. objectClass: groupOfNames
   
4. member: cn=jack,ou=user,dc=example,dc=com
   
5. member: cn=rose,ou=user,dc=example,dc=com

复制代码

反过来，“每一个用户属于哪些组”也需要管理起来，便于ldap search。否则要去扫描每一个group，效率太低。
但是我找了半天，person、orginazitionalPerson、inetOrgPerson的都没有memberOf之类的属性，那么user->group的关系，怎样维护呢？
大家通常是怎么做的？求教！

knightmade

查阅了一些资料，openldap貌似支持“反向组-成员关系”的，如下：

1. In some scenarios, it may be desirable for a client to be able to determine which groups an entry is a member of, without performing an additional search. Examples of this are applications using the DIT for access control based on group authorization.
   
2. 
   
3. The memberof overlay updates an attribute (by default memberOf) whenever changes occur to the membership attribute (by default member) of entries of the objectclass (by default groupOfNames) configured to trigger updates.
   
4. 
   
5. Thus, it provides maintenance of the list of groups an entry is a member of, when usual maintenance of groups is done by modifying the members on the group entry.

复制代码

可当我试图增加这个特性时，报错如下：

1. 
   
2. sudo ldapadd -Y EXTERNAL -H ldapi:///
   
3. SASL/EXTERNAL authentication started
   
4. SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
   
5. SASL SSF: 0
   
6. dn: olcOverlay={0}memberOf,olcDatabase={1}hdb,cn=config
   
7. objectClass: olcOverlayConfig
   
8. olcOverlay: memberOf
   
9. 
   
10. adding new entry "olcOverlay={0}memberOf,olcDatabase={1}hdb,cn=config"
    
11. ldap_add: Other (e.g., implementation specific) error (80)
    
12.         additional info: <olcOverlay> handler exited with 1
    

复制代码

这是什么原因？没有人知道吗？

knightmade

自己搞定了！
感谢政府！感谢CCTV！

fanuq

我也试着搞定了，备份下
删除我的slapd.conf文件中

database config  
rootpw  secret

然后加上
modulepath /usr/lib64/openldap  
moduleload memberof
overlay memberof
就可以实现，操作系统centos6

qzn928

回复 3# knightmade


    楼主怎么解决的？

jixuuse

只能在用户属性中增加组，不能在组属性里添加用户

虽然说起来很别扭，但是确实是这样

qzn928

肯定不对，同一个用户属于多个组这种情况肯定是需要这样的属性支持的，不然查找起来相当麻烦回复 6# jixuuse


   

jixuuse

qzn928 发表于 2015-01-06 18:42
肯定不对，同一个用户属于多个组这种情况肯定是需要这样的属性支持的，不然查找起来相当麻烦回复 6# jixuus ...

我自己写了个程序来做管理，类似于AD的管理工具，openldap自带的那个web管理工具真心不好用

qzn928

也是种不错的方法，我是不想自己开发，不过后来用系统用户组管理也解决问题了 回复 8# jixuuse