Eu tenho um openLDAP que eu uso para autenticar usuários em vários servidores, onde cada usuário pode ter acesso a um número variável de hosts. Estou resolvendo esse requisito usando o atributo "host" e um filtro na configuração do PAM das máquinas usando o LDAP para autenticação, conforme descrito, por exemplo, em link ) usando a consulta "(& (objectClass = posixAccount) (uid = $ username) (| (host = $ hostname) (host = $ fqdn) (host = \ *))) ")
Agora, também tenho a necessidade de adicionar um atributo para e-mails às entradas do usuário, para as quais objectclass: inetOrgPerson parece ser o melhor ajuste.
No entanto, eu não posso usar tanto objectclass: account e objectclass: inetOrgPerson ao mesmo tempo; Eu posso usar objectclass: posixAccount e objectclass: inetOrgPerson, como descrito, e. em Adicionando inetOrgPerson às entradas de conta / posixAccount LDAP , mas depois perco o atributo "host".
Alguém que tenha uma sugestão de como resolver esse problema? O "extensibleObject" é o único caminho a seguir?
EDIT: No final, eu usei extensibleObject para isso; não parece a solução "correta" porque reduz a utilidade das verificações de esquema, mas parece ter sido a única maneira razoável.
Se for estritamente ssh, você pode usar AllowGroups e / ou seus parentes em ssh_config . (Nota: o esquema rfc2703bis permite herança em grupos, pelo menos com sssd , o esquema nf rfc2703 também não.)
Caso contrário, use extensibleObject ou você pode escrever seu próprio esquema no host AUX ou SUP para posixAccount.
Você também pode restringir respostas usando o controle de acesso do OpenLDAP , mas eu não estou entrando nos detalhes disso.