Я видел этот вопрос Несколько OU , а также сообщение NO ,пользователь @ область . Сервер OpenVPN настроен на базе LDAP OU = vpnpeople, dc = corp, dc = com
, поэтому люди не могут аутентифицироваться, используя свой пароль LAN.
Что я придумал. - это немного проблемный метод копирования пользователя из OU = people, dc = corp, com
в OU = vpnpeople, dc = corp, com
и установки для атрибута userPassword значения {SASL} пользователь @ область
.
Я был вполне доволен этим решением, пока не понял, что каждое приложение в локальной сети, использующее базу поиска LDAP dc = corp, dc = com
, теперь должно либо исключать OU = vpnpeople ..
или явно перечислить разрешенные OU, из которых пользователь может аутентифицироваться ... тьфу ...
Итак, вернемся к чертежной доске. Какой хороший способ использовать несколько методов аутентификации для одного и того же человека в OpenLDAP?
UPDATE re: ACL
, где 10.1.1.2 будет vpn-сервером ...
access to dn.subtree="OU=vpnpeople,dc=example,dc=com"
by peername.ip=10.1.1.2 anonymous read
by * none
Поместите запись ACL в поддерево ou = vpnpeople, dc = corp, dc = com, которая разрешает доступ только администратору и учетной записи службы, которую сервер vpn использует для доступа к нему.