openldap为一个用户设置为多个组

---

使用ldap创建账号体系，除了要给每个员工、用户创建账号，还需要给他们分配一个组的角色，有了组，就能比较好的进行权限控制，比如ssh+ldap这样的组合，可以通过组来对组成员的sudo权限进行控制，但是有时候一个用户不是仅仅只是一个组的成员，有可能他既是开发，也是db管理员，既是产品经理，还是整个项目的管理员，这样就不太好给这样的用户单独配一个组。
可以针对每一种角色配置一个组，如开发组、测试组、db组、产品组，若某个用户需要有多个组的权限，可以将这个用户添加到对应的组当中去

---

配置步骤

创建组后，首先为这个组添加memberUid的属性

选择用户然后加入，如图为这个gidNumber为501的组添加了多个用户


这里来试一下，这样添加是否让用户具有了多个组的权限，如图alert用户的主组是501

我这里设置的501组的sudo权限是很小的，有很多命令是不能使用的，但是502组的sudo权限基本上就是root权限，我502组的memberUid加了alert这个用户

我们来看一下，502组加alert用户之前和之后的对比

如图，没加入502组之前执行sudo id，是没有执行权限的，加入了之后再执行，执行sudo id，已经将权限提升了为root了，并且显示它的组同时属于501和502，至此，我们可以理解为它拥有了501和502两个组的权限了。

如果需要使用ldif格式进行添加：
dn: cn=tstgroup,ou=Group,dc=example,dc=com
objectClass: posixGroup
objectClass: top
cn: tstgroup
memberUid: alice
memberUid: bob
memberUid: marilena
memberUid: charlie
gidNumber: 501