Iniciando o openLDAP

8

Eu trabalho como administrador de sistemas em uma empresa e sou obrigado a implantar o openLDAP. Eu li muitos materiais, mas realmente não consigo descobrir por onde começar.

Primeiro sobre a empresa:

Serviços:

  1. E-mail: todo usuário recebe uma conta de e-mail, como nome_do_médio, nome_do_outro.nome_de_usuá[email protected] e um apelido / encaminhador de e-mail no formato nome_do_company.com ou, às vezes, sobrenome [Primeira letra do primeiro nome] compant.com
  2. Jabber: todo usuário recebe uma conta jabber no formato [email protected]. Em alguns casos, isso se torna firstname.lastname se os nomes colidirem.
  3. Trac e Redmine: Todo uso recebe contas para trac e redmine, que geralmente são seu primeiro nome.
  4. Um login do schedulerex como nome ou nome.nome.
  5. Um login de máquina, nome.
  6. Associação a listas de e-mail como [email protected], [email protected], [email protected] e etc.
  7. Uma conta do MediaWiki, novamente com o mesmo formato do alias / encaminhador de email.
  8. Uma conta ssh em um servidor de implantação do mesmo formato que alias / encaminhador de email.

O que acho que devo fazer: devo usar o inetOrgPerson e criar um esquema personalizado para a nossa organização. O que não tenho certeza é como posso gerenciar tantos logins diferentes e como o software será respeitado para saber qual login usar. Eu escrevi um esquema personalizado que pode armazenar as seguintes informações:

  • Nome completo
  • telefone
  • Célula
  • Endereço
  • Cidade
  • País
  • Departamento
  • Ingressou em

Alguém vai me apontar para a direção certa? Eu perdi muito tempo pesquisando sobre ele, mas não consegui pensar em nada ... Realmente aprecio você ter tempo e ler a pergunta.

linux ubuntu debian ldap openldap Shoaibi
fonte
Considere reduzir o número de nomes de usuário distintos para o login. Por exemplo, se você possui seu próprio servidor de email, o logon não precisa ser o endereço de email. Permita que as pessoas tenham 1 nome de usuário para logins e faça a pesquisa de todos os serviços ldap para esse login e senha.
mivk

Respostas:

10

Você realmente não precisa criar um esquema personalizado para isso. Realizamos 1-3 e 5-8 usando apenas inetOrgPerson e posixAccount com um pouco do esquema personalizado do Trac (baixado da Web).

Há dois grandes problemas em aprender a implantar um diretório LDAP:

  • Pelo que parece, existe alguma mágica secreta para determinar um bom layout para o diretório.
  • Não há mágica secreta para determinar um bom layout para o diretório.

Meu conselho é começar pequeno, usar esquemas existentes e integrar as coisas uma etapa de cada vez. É razoavelmente fácil adicionar informações ao diretório ou colocar novas objectClasses em camadas sobre entidades. Isso fica difícil quando você deseja mover ou excluir informações do diretório.

Use também um esquema organizacional basicamente plano, ou você ficará louco.

Boa sorte, prometo que é mais fácil do que parece.

Paul Lathrop
fonte
11
+1 Evite esquemas personalizados, se puder, eles provavelmente causarão dores de cabeça a alguém no futuro.
theotherreceive
+1 na resposta e no (s) comentário (s) sobre como evitar esquemas personalizados.
Asdmin
11
associações são melhor tratadas com grupos, geralmente. Eu defendo fortemente o pensamento sobre um layout de grupos de barebone desde o início.
Francesco Malvezzi