Запуск openLDAP

8

Я работаю системным администратором в компании, и мне необходимо развернуть openLDAP. Я прочитал много материалов, но я действительно не могу понять, с чего начать.

Сначала о компании:

Сервисы:

  1. Электронная почта: каждый пользователь получает учетную запись электронной почты, например firstname.middlename.anothername.lastname@company.com и псевдоним / пересылку электронной почты в формате firstname@company.com или иногда [First-letter-of-name] фамилия @ compant.com
  2. Jabber: каждый пользователь получает учетную запись jabber в формате firstname@jabber.company.com. В некоторых случаях это становится firstname.lastname, если имена конфликтуют.
  3. Trac and Redmine: Каждое использование получает учетные записи trac и redmine, которые обычно являются его именем.
  4. Вход в timetrex в качестве имени или первого имени.
  5. Логин машины, имя.
  6. Членство в списках рассылки, таких как all@company.com, management@company.com, accounts@company.com и т. Д.
  7. Учетная запись MediaWiki, снова того же формата, что и псевдоним / пересылка электронной почты.
  8. Учетная запись ssh на одном из серверов развертывания того же формата, что и псевдоним / пересылка электронной почты.

Что я думаю, я должен сделать: я должен использовать inetOrgPerson и создать собственную схему для нашей организации. Что я не уверен, так это то, как я могу управлять таким количеством разных входов и как программное обеспечение будет знать, какой вход использовать. Я написал собственную схему, которая может хранить следующую информацию:

  • Полное имя
  • Телефон
  • клетка
  • Адрес
  • город
  • Страна
  • отдел
  • Присоединился к

Кто-нибудь укажет мне правильное направление? Я потратил много времени на поиски, но ничего не смог придумать ... Очень ценю, что вы нашли время и прочитали вопрос.

linux ubuntu debian ldap openldap Shoaibi
источник
Подумайте об уменьшении количества разных имен пользователей для входа. Например, если у вас есть собственный почтовый сервер, логин не обязательно должен быть адресом электронной почты. Пусть люди имеют 1 имя пользователя для входа в систему и имеют все службы поиска ldap для этого имени пользователя и пароля.
Mivk

Ответы:

10

Вам действительно не нужно создавать собственную схему для этого. Мы выполнили 1-3 и 5-8, используя только inetOrgPerson и posixAccount, добавив немного пользовательской схемы Trac (загруженной из Интернета).

Есть две большие проблемы с изучением того, как развернуть каталог LDAP:

  • Судя по всему, есть некоторая тайная магия в определении хорошего макета для каталога.
  • Не существует секретной магии для определения хорошего макета для каталога.

Мой совет - начинать с малого, использовать существующие схемы и интегрировать вещи по шагам за раз. Достаточно легко добавить информацию в каталог или наложить новые объектные классы поверх сущностей. Это становится трудно, только когда вы хотите переместить или удалить информацию из каталога.

Используйте также в основном плоскую организационную схему, иначе вы сойдете с ума.

Удачи, обещаю, что это проще, чем кажется.

Пол Латроп
источник
1
+1 Избегайте пользовательских схем, если можете, они просто могут вызвать головную боль в будущем.
theotherreceive
+1 за ответ и за комментарий (ы) по избеганию пользовательских схем.
asdmin
1
Членство, как правило, лучше обрабатывать группами. Я настоятельно рекомендую с самого начала задуматься о планировании групп по всему миру.
Франческо Мальвези