Coloque uma entrada ACL na subárvore ou = vpnpeople, dc = corp, dc = com que permita apenas o administrador e a conta de serviço que o servidor vpn usa para acessá-la.
Eu vi essa pergunta Várias OUs , também como a postagem NO , mas sem uma boa explicação, isso não resolve o problema.
Eu quero permitir que os usuários se autentiquem usando senhas padrão quando estiverem no atributo LAN (OpenLDAP userPassword {SHA1} ... ), mas também permitam alguns para autenticar com o OpenVPN por meio de uma passagem de SASL em que o atributo userPassword é definido usando {SASL} user@realm . O servidor OpenVPN é configurado com uma base LDAP de OU=vpnpeople,dc=corp,dc=com , portanto, não é possível que as pessoas se autentiquem usando sua senha de LAN.
O que eu descobri é um método um pouco problemático de copiar o usuário em OU=people,dc=corp,com para OU=vpnpeople,dc=corp,com e configurar o atributo userPassword para {SASL} user@realm .
Fiquei bastante satisfeito com essa solução até perceber que cada aplicativo na LAN usando uma base de pesquisa LDAP de dc=corp,dc=com agora deve excluir o OU=vpnpeople.. ou listar explicitamente as UOs permitidas das quais um usuário pode se autenticar. .. ugh ...
Então, de volta à prancheta. O que é uma boa maneira de usar vários métodos de autenticação para a mesma pessoa no OpenLDAP?
UPDATE re: ACL
onde 10.1.1.2 seria o servidor vpn ...
access to dn.subtree="OU=vpnpeople,dc=example,dc=com"
by peername.ip=10.1.1.2 anonymous read
by * none