Avvio di openLDAP

8

Lavoro come amministratore di sistema in un'azienda e mi viene richiesto di distribuire openLDAP. Ho letto molti materiali ma non riesco davvero a capire da dove cominciare.

Prima sull'azienda:

Servizi:

  1. E-mail: ogni utente riceve un account e-mail come first.m.middlename.anothername.lastname@company.com e un alias / forwarder e-mail del formato firstname@company.com o talvolta [First-letter-of-first-name] lastname @ compant.com
  2. Jabber: ogni utente ottiene un account jabber di formato nome@jabber.company.com. In alcuni casi questo diventa firstname.lastname se i nomi si scontrano.
  3. Trac e Redmine: ogni uso ottiene account per trac e redmine che di solito sono il suo nome.
  4. Un login di schedrex come nome o first.lastname.
  5. Un login macchina, nome.
  6. Iscrizione a mailing list come all@company.com, management@company.com, accounts@company.com e così via
  7. Un account MediaWiki, sempre nello stesso formato di alias / forwarder e-mail.
  8. Un account ssh su uno dei server di distribuzione dello stesso formato di alias / forwarder e-mail.

Cosa penso che dovrei fare: dovrei usare inetOrgPerson e creare uno schema personalizzato per la nostra organizzazione. Quello che non sono sicuro è come posso gestire così tanti accessi diversi e in che modo il software saprà quale login utilizzare. Ho scritto uno schema personalizzato in grado di memorizzare le seguenti informazioni:

  • Nome e cognome
  • Telefono
  • Cellula
  • Indirizzo
  • Città
  • Nazione
  • Dipartimento
  • Iscritta

Qualcuno mi indicherà la giusta direzione? ho perso molto tempo a cercarlo ma non sono riuscito a trovare nulla ... Apprezzo molto il fatto che tu abbia preso tempo e letto la domanda.

linux  ubuntu  debian  ldap  openldap 
Shoaibi
fonte
Valuta di ridurre il numero di nomi utente distinti per l'accesso. Ad esempio, se si dispone di un proprio server di posta, l'accesso non deve necessariamente essere l'indirizzo e-mail. Consenti alle persone di avere 1 nome utente per gli accessi e tutti i servizi cercano ldap per quel login e quella password.
mivk

Risposte:

10

Non è davvero necessario creare uno schema personalizzato per questo. Abbiamo realizzato 1-3 e 5-8 usando solo inetOrgPerson e posixAccount con un po 'di schema personalizzato Trac (scaricato dal web).

Esistono due grossi problemi con l'apprendimento di come distribuire una directory LDAP:

  • A quanto pare, c'è qualche magia segreta nel determinare un buon layout per la directory.
  • Non c'è magia segreta per determinare un buon layout per la directory.

Il mio consiglio è di iniziare in piccolo, utilizzare schemi esistenti e integrare le cose un passo alla volta. È ragionevolmente facile aggiungere informazioni alla directory o sovrapporre nuove ObjectClass sopra entità. Diventa difficile solo quando si desidera spostare o eliminare informazioni dalla directory.

Usa anche uno schema organizzativo per lo più piatto, o diventerai pazzo.

Buona fortuna, prometto che è più facile di quanto sembri.

Paul Lathrop
fonte
1
+1 Se possibile, evita schemi personalizzati, potrebbero causare mal di testa a qualcuno in futuro.
theotherreceive,
+1 per la risposta e per i commenti su come evitare schemi personalizzati.
asdmin,
1
le iscrizioni sono gestite meglio con i gruppi, di solito. Sostengo vivamente di pensare a un layout di gruppi barebone sin dall'inizio.
Francesco Malvezzi,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.