Я настраиваю сервер OpenLDAP в Ubuntu, чтобы это была авторитетная база данных пользователей для аутентификации. Я собираюсь использовать Atlassian Crowd с ним, чтобы Google Apps затем могли использовать SSO против Crowd.
Чтобы еще больше увеличить вложения в LDAP, я хочу использовать инструмент синхронизации каталогов Google, чтобы ИТ-специалисты могли управлять деталями LDAP, а затем инструмент синхронизации загружал их в Google. Это также гарантирует, что если пользователь использует Crowd для изменения своего пароля, GADS повторно синхронизирует пароль с Google, чтобы приложения без единого входа, такие как смартфоны, POP и т. Д., Продолжали работать.
Мой вопрос связан с тем, как лучше всего определить некоторые объекты в OpenLDAP. Людей, кажется, довольно просто определить, поскольку объектный класс inetOrgPerson определяет все нужные мне атрибуты.
Группы рассылки и контакты, кажется, сложнее определить, поскольку я не могу найти ни одного объектного класса, который соответствовал бы всем требованиям. Например, groupOfUniqueNames не имеет атрибута mail (для определения адреса электронной почты). Я не могу найти ничего похожего на контакт.
В документации к GADS предполагается, что инструмент будет искать такой атрибут, как «literal», как содержащий адрес электронной почты. Нет никаких предложений о том, что можно использовать для контактов.
Есть предложения, как я могу продолжить? Я действительно хочу использовать LDAP для групп, а не Google Apps, потому что я также хочу использовать членство в группах для управления доступом к таким ресурсам, как доступ SSH к серверам, доступ к репозиторию git и т. Д.
Большое спасибо.
Оказывается, инструмент синхронизации Google, GADS, очень гибок в отношении таких вещей, как объектные классы. На самом деле, на этом уровне не стоит беспокоиться. GADS позволяет вам указать, какой атрибут относится к какой части информации, и вы также можете определить фильтр поиска, чтобы помочь ему просто получить, скажем, пользователей или только группы.
Итак, я закончил тем, что использовал groupOfUniqueNames для групп списков рассылки, и я добавляю к нему класс extendibleObject, чтобы я мог определять недостающие атрибуты, такие как адрес электронной почты.
Если это openldap, то вы можете использовать groupOfURIs, который позволяет использовать пустой список, для связи между людьми и группами (оверлей dynlist позволяет вам получать некоторые другие атрибуты из места назначения. Надеюсь, это поможет. Man slapo-dynlist.