Dotaz: Bugzilla a LDAP skupina

Zdravím,

řeším následující problém. Na serveru mám nainstalovanou bugzillu a chtěl bych, aby si brala uživatele z LDAPu. To funguje podle návodu na stránkách bez problému. Ale chtěl bych nastavit systém tak aby se do bugzilly mohli přihlásit jen lidé z LDAP skupiny bugzilla-users. Bugzilla umí přidat podmínku pro vyhledání uživatele (například shell=/bin/bash), ale to mi asi nestačí. Jako LDAP server používám Fedora DS. Všechny ostatní služby se mi podařilo přesvědčít, aby požadovaly členství v nějaké skupině, takže se mi tím velice snadno aministruje, co kdo smí.

V principu vidím několik řešení, ale nevím, která z nich jsou možná a která rozumná...

1) Ukecat nějak FDS aby u každého uživatele udělal nějaký virtuální atribut isMemberOf, který by obsahoval všechny skupiny, ve kterých daný člověk je (to by bylo nejlepší řešení)

2) Bugzilla se musí nejdřív přihlásit k LDAPu, aby si uživatele našla podle zadané emailové adresy. Mohl bych bugzillu nastavit, aby se ověřila jako nějaký uživatel a ten by měl právo jen na uživatele, které jso uve skupině bugzilla. Nejsem si jistý, zda by se tohle dalo nastavit (třeba přes ACL)...

3) Přidat každému uiživateli, který smí do bugzilly atribut jako bugzillaAllowed. To by určite šlo, ale nelíbí se mi to - všechny přístupy chci řešit přes skupiny.

4) Fedora DS umí nějaké CoS (Class Of Service) pomocí kterých by se mohlo nechat udělat, že by členové skupiny bugzilla-users měli nějaký atribut z nějaké šablony, ale abych se přiznal, nějak mi to není jasné a v dokumentaci k CoS jsem nenašel, jak by se to dělalo přes nějaký atribut nějakého jiného objektu. Dá se tím udělat, že objekt office má nějakou adresu a všichni lidé, kteří mají atribut homeoffice nastaven na ten office budou mít automaticky "zkopírovaný" atribut s adresou. Ale tady by bylo potřeba mít jako objekt user, šablona bugzilatemplate a spojit to jen tehdy, když existuje objekt skupina, který má v sobě toho usera uvedeného, t.j. nemám žádný ten atribut u toho usera, přes který bych to mohl spojit (kdybych ho měl, tak bych to koneckonců nemusel řešit tak složite )... No trochu jsem se do toho zamotal, ale v principu je to snad pochopitelné :)

Samozřejmě očekávám, že nejjednodušší řešení jsem přehlédl a je na dva řádky/kliky, takže doufám, že mě na něj někdo upozorní

Radek