LDAPサーバーでグループメンバーシップをフィルタリングする方法は?

LDAPサーバーでグループメンバーシップをフィルタリングする方法は?

コンテキスト:LDAPサーバーで認証が完了したUbuntu 12.04があります。

残念ながら、1人の(ldap)ユーザーが「admin」という(ldap)グループに属しています。

私はLDAPで照会したくないユーザーをリストするnss_initgroups_ignoreusersオプションがあることを知っています。ただし、どのグループにも対応するコンテンツが見つかりません。

このインストールでLDAPグループを無効にするにはどうすればよいですか?

答え1

私が知っている唯一の方法は、アイテムnss_base_groupにフィルタを含めることです。使用しているグループ構造によっては、または他のものにcn置き換える必要があるかもしれません。gidシステムによっては、検索条件と範囲を変更する必要があります。

nss_base_group  ou=groups,dc=example,dc=com?one?(!(cn=admin))

関連情報