ixueyong
commented
9 months ago 集成ldap后,默认只能在一个组里,导致权限很难规划.可否把用户跟组单独区分,让管理员能把ldap用户分配到不同的组
Open ixueyong opened 9 months ago
ixueyong
commented
9 months ago 集成ldap后,默认只能在一个组里,导致权限很难规划.可否把用户跟组单独区分,让管理员能把ldap用户分配到不同的组
hale177
commented
9 months ago 集成ldap后,默认只能在一个组里,导致权限很难规划.可否把用户跟组单独区分,让管理员能把ldap用户分配到不同的组
哥们你是功能没研究透,它可以创建多组,每个组可独立配置ldap 认证,这2个特性不就已经满足你需求了么
zisain
commented
3 months ago 集成ldap后,默认只能在一个组里,导致权限很难规划.可否把用户跟组单独区分,让管理员能把ldap用户分配到不同的组
哥们你是功能没研究透,它可以创建多组,每个组可独立配置ldap 认证,这2个特性不就已经满足你需求了么
哥们,你也没仔细理解他的意思啊, 如果你在LDAP里面已经生成了100个组,且每个组都有不同的权限,本来只需要导入组就可以覆盖组的权限,,,不然就的得生成100个组....那得多难受啊...
ixueyong
commented
3 months ago 其实我想说的是,希望再做一个组策略的功能,LDAP既然已经有了用户和用户组,并且已经有了用户跟用户策略匹配的功能,为什么不再弄一个组跟组策略匹配的功能呢? 不然真如上位所说要加100次了,其实就算加100次也无所谓,但如果一个用户所属多个组,那么他到底该归属哪个组呢? 还有另一个场景就是, ldap里只有用户,没有组, 只提供账号验证功能, 但在vpn角度有很多用户权限需求是一样的,所以就需要在anylink后台建组设置统一权限,这样就不用每个人都新建一个用户策略了,只需把用户加入对应组即可
zisain
commented
3 months ago 其实我想说的是,希望再做一个组策略的功能,LDAP既然已经有了用户和用户组,并且已经有了用户跟用户策略匹配的功能,为什么不再弄一个组跟组策略匹配的功能呢? 不然真如上位所说要加100次了,其实就算加100次也无所谓,但如果一个用户所属多个组,那么他到底该归属哪个组呢? 还有另一个场景就是, ldap里只有用户,没有组, 只提供账号验证功能, 但在vpn角度有很多用户权限需求是一样的,所以就需要在anylink后台建组设置统一权限,这样就不用每个人都新建一个用户策略了,只需把用户加入对应组即可
哥们导入组策略这玩意需要在ad域控深造了的人才能理解你的需求了,组的话我是直接配置接入权限分配在标识里面,就可以实现权限了,不过一个人属于多个组....这个功能就比较操蛋了~但是也能实现,不过一切取决于导入规则怎么写,那相当的复杂...作者肯定没那么多精力折腾这玩意了,,,你得自己研究下,反正上面源代码可以直接自己搞个分支改一下
ixueyong
commented
3 months ago 确实,如果想实现组功能确实要深入研究,但其实目前最多的场景还是我后面说的那个简单场景,ldap只提供用户认证, anylink只需再加一个组策略功能即可, 需要相同权限的人,管理员统一拉到一个组策略就行了. hale177这个哥们说的重复加组的建议不可取,因为用户源还是同一个ldap,同一个源建了那么多组,每个组都能检索到用户,那用户到底属于哪个组呢?
zisain
commented
3 months ago 确实,如果想实现组功能确实要深入研究,但其实目前最多的场景还是我后面说的那个简单场景,ldap只提供用户认证, anylink只需再加一个组策略功能即可, 需要相同权限的人,管理员统一拉到一个组策略就行了. hale177这个哥们说的重复加组的建议不可取,因为用户源还是同一个ldap,同一个源建了那么多组,每个组都能检索到用户,那用户到底属于哪个组呢?
如果一个用户存在多个组的话,应该会有所有组的权限,,最少在ad域里面是这样体现的,所以没必要纠结在哪个组,只要每个组里都存在这个用户即可.
ixueyong
commented
3 months ago 总之弄个组策略的功能,感觉需求人挺多 ^^
使用的anylink版本 ?
使用操作系统的类型和版本?
如: centos 7.9
使用linux 内核版本?
具体遇到的问题,可上传截图