Помощь в настройке дочернего или ретрансляционного сервера OpenLDAP

Я действительно потерялся здесь и был бы признателен за помощь.

В моей организации уже есть сервер OpenLDAP, который обеспечивает доступ только для чтения.

Запустив это, я получаю полный дамп всех пользователей, групп и подразделений в моей организации.

      ldapsearch -x -b dc=corp,dc=ORG,dc=com -H ldap://xx.eng.yy.ORG.com

Это хорошо, теперь я держу в руках иерархию организации.

Далее я хочу создать сервер OpenLDAP и заставить этот сервер «переопределить» группы, которые отсутствуют на родительском сервере OpenLDAP, например на родительском/основном сервере LDAP:

Есть сайт, в котором сотни пользователей. Я хочу добавить больше детализации этим пользователям.

Что я хотел бы сделать на моем сервере CHILD LDAP:

• Создайте новую группу с именем
• Добавьте небольшое количество пользователей изOU=supportв этой новой группе.

Поэтому, когда я использую CHILD ldap-сервер где угодно и вхожу в систему как один из пользователей, запрос LDAP будет перенаправлен на PARENT LDAP-сервер (для паролей), но разрешения будут установлены в соответствии с тем, где я настроилSupport-NewHiresдля доступа.

Допустим, Джон — новый сотрудник, а Джейн — ветеран. Итак, я добавляю Джона в

Теперь у меня есть приложение с интеграцией LDAP (VMware vCenter), я бы интегрировал его с CHILD LDAP-сервером. Я установлю ограниченный контроль доступа дляOU=Support-NewHiresгруппа и доступ с полным доступом кOU=Supportгруппа

Теперь, когда Джон войдет в систему, он увидит ограниченный просмотр, но если Джейн войдет в систему, она получит неограниченный просмотр. Мне не придется хранить какие-либо их пароли или другие данные, а только ихUID=

Обратите внимание, что у меня нет прав на запись для доступа к РОДИТЕЛЬСКОМу LDAP-серверу.