來自 ldap 的基於 dn 的 linux 組

有沒有辦法將 LDAP 的基於 DN 的組之一用於 linux 組，而不是使用基於 uid 的 posixGroup 對像類？

更廣泛地說，有什麼辦法可以避免擁有一組支持 linux 帳戶的組和一組被其他所有東西使用的並行組？

是的。

在您的 nss_ldap 配置文件中，設置 nss_schema：

nss_schema rfc2307bis

在架構中的伺服器上，確保 posixGroup 對像類是輔助的而不是結構的。

然後，您可以為每個組使用 groupofmembers(new) 或 groupofnames(old) 和 posixgroup 對像類。每個成員將在一個成員屬性中：

dn: cn=foo,ou=Groups,dc=example
objectclass: top
objectclass: posixgroup
objectclass: groupofmembers
gidnumber: 9234
member: uid=bob,ou=people,dc=example
member: uid=alice,ou=people,dc=example

引用自：https://serverfault.com/questions/224750