Como delimitar o acesso a um serviço ao conjunto de usuários, usando o OpenLDAP e somente UOs

Ok, aqui vai. Resolver isso resolverá vários problemas para mim (como posso reaplicar esse conhecimento a vários problemas existentes e similares), mas por sorte tenho um problema muito específico e conciso para descrever.

Bastante preâmbulo. Nosso parceiro de hospedagem está configurando o acesso VPN para nós e está conectando-o ao nosso servidor LDAP.

Eles estão usando o Cisco VPN, os documentos sobre configuração estão aqui:

link

Especificamente, observe a captura de tela em (5), em "ASDM"

Agora, NÃO desejo fornecer acesso a todos os nossos usuários. Eu só quero fornecer acesso ao nosso grupo de TI. Mas não vejo uma opção de configuração para grupos LDAP nessa referência da Web para a VPN da Cisco.

Estamos usando:

OpenLDAP 2.4 Grupos estáticos (por exemplo, "O grupo tem os seguintes membros ...") OU de usuário único, "ou = usuários, dc = minhaempresa, dc = com"

É possível fornecer um alias de algum tipo no OpenLDAP que crie outra UO, "itusers", digamos, e me aliasse os membros dessa UO de alguma forma? Algo como:

"cn = Jeff Silverman, ou = usuários, dc = minhaempresa, dc = com"

é um alias para

"cn = Jeff Silverman, ou = usuários, dc = minhaempresa, dc = com"

E NÃO é uma conta de usuário exclusiva e separada.

Como alternativa, devo criar uma unidade organizacional separada e gerenciá-la separadamente? É uma dor, mas apenas 12-15 usuários terão que ser gerenciados dessa maneira, com duas contas de usuário separadas. Mas eu odeio essa opção - confusa, incontrolável, inviável. Você sabe o que quero dizer.

Estou aberto a qualquer opção. Eu procurei e li tudo, mas não consigo encontrar um exemplo diretamente analógico. Eu não posso ser o único que teve esse problema!

Obrigado!