Как в openLDAP дать пользователю права на чтение записей с определенным значением атрибута departmentNumber?

Question

[nekroposter]

Есть несколько подобного вида юзверей:
cn=ivanov@grrr.ru,ou=Workers,dc=grrr,dc=local
objectClass: top
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
uid: ivanov@grrr.ru
cn: ivanov@grrr.ru
mail: ivanov@grrr.ru
sn: Иванов Иван Демьянович
departmentNumber: 432199

У всех у них идет соответствие по первым четырем цифрам departmentNumber=4321*
Один из наших сайтов хочет, чтобы пользователи с departmentNumber, начинающимся на 4321 могли на него через LDAP авторизоваться, а остальные нет.

Вопрос: как это сделать?
Уточнение 1: нет, админ этого сайта не будет делать фильтрацию на своей стороне. Это нужно сделать на стороне LDAP.
Уточнение 2: в ou=Workers нет дальнейшего деления на ou-s по номеру подразделения и не желательно делать - полетит к чертям остальная инфраструктура(

Теория: Запихнуть ручками всех таких пользователей в одну группу.. а дальше как?

Answer 1

[ky0]

нет, админ этого сайта не будет делать фильтрацию на своей стороне

Ну и зря, что сказать. Нежелание следовать стандартным процедурам не повод городить костыли.

Comments

[nekroposter]

Знаю, но, увы, даже начальство здесь не имеет права голоса - великий оракул сказал, наша задача ничтожно подчиниться
Подозреваю, админ на той стороне просто не обладает достаточной квалификацией, а меня туда не пустят

Answer 2

[trushko]

Может я что то не так понял ,но почитайте про это
Dynamic Access Control -> Claim

Comments

[nekroposter]

Киньте в меня тапком, если ошибаюсь, но какое отношение технология для windows active directory имеет к лдапу? В данной задаче нет виндовых серверов

[trushko]

nekroposter, Active Directory («Активный каталог», AD) — службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

[trushko]

nekroposter, но у вас linux ,поэтому я ошибся