Em nossa empresa, temos um determinado servidor LDAP, que representa os usuários de nosso Windows Active Directory. Infelizmente, o gidNumber enviado para o cliente LDAP está sempre contendo o valor "1001" para cada usuário do diretório. As configurações do servidor LDAP, incluindo este valor, não podem ser alteradas.
Eu gostaria de implementar dois grupos de usuários que podem ser definidos no servidor LDAP. No lado do cliente LDAP (RHEL 5.8), os grupos de usuários devem ser mapeados para grupos de usuários do Linux. Os dois grupos ("Grupo1" e "Grupo2") podem ser identificados com estas declarações LDAP:
AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com
AppRoles=cn=Group2,ou=OU1,ou=Applications,dc=company,dc=com
Até agora, o pam_filter era usado apenas para permitir que um grupo de usuários LDAP específico acessasse a máquina Linux. E nss_override_attribute_value foi usado para fazer um mapeamento do Grupo Linux. Essa configuração nos permitiu lidar com um único grupo de usuários em um RHEL 5.8. Mas não permite gerenciar vários grupos do Linux.
# Override gidNumber Attibute
nss_override_attribute_value gidNumber 500
# Filter for only allowing LDAP users in the LDAP Jumphost group to access this Server
pam_filter AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com
É possível fazer um mapeamento entre o String LDAP e um Linux GID sem usar o atributo gidNumber?