Структура OpenLDAP и обслуживание пользователей на основе ролей
Я планирую структуру сервера OpenLDAP, чтобы интегрировать его с несколькими приложениями (скажем, с 10 приложениями). Здесь у меня есть 8 внутренних приложений (веб-приложения и мобильные приложения), а еще 2 говорят о внешних сервисах, таких как GitLab.
Наш сценарий похож на использование всех 10 приложений с 1000 пользователей. Среди 1000 пользователей будут разные роли, такие как администратор, менеджеры, разработчики и т. Д.
Все 1000 пользователей будут иметь разрешение / доступ для входа в приложения (скажем, cn = application3, cn = application4, cn = application5, как показано на рисунке).
Для cn = application1 и cn = application2 (которые являются внешними службами, такими как GitLab и включают отдельные роли в соответствии с внешним приложением), только несколько пользователей будут иметь разрешение на доступ / использование.
Согласно нашему требованию, мы вставили 1000 пользователей в cn = group1. Таким образом, мы переместили в cn = application1 и cn = application2 несколько пользователей, которым нужен доступ к этим приложениям. В будущем размер моей организации будет увеличиваться, как и количество заявок. А пока мы продолжаем строить структуру, как показано на рисунке. Следует ли следовать этой лучшей практике?
Может ли кто-нибудь посоветовать мне, как я могу с этим справиться? Поскольку я новичок в OpenLDAP, дайте мне знать, если я упомянул что-нибудь не так.
Ваш макет выглядит странно.
- Обычно пользователи находятся в
ou=users,dc=example,dc=com,ou=accounts,dc=example,dc=comилиou=people,dc=example,dc=com. - Роли обычно рассматриваются по типу группы (
groupOfNames,groupOfUniqueNamesилиorganizationalRole) и держится примерно такou=groups,dc=example,dc=com.groupOfNamesвстречается чаще всего. - Назовите свои роли примерно так:
cn=admins+ou=app1,ou=groups,dc=example,dc=com. Это позволит вам извлечь все роли для app1, выполнив поискou=app1.