У меня есть ou = Люди, и там я храню наших сотрудников. Я должен как-то разделить их на наших нынешних сотрудников и бывших сотрудников. Я думал о создании 2 групп, ou = Employees, ou = People и ou = FormerEmployees, ou = People, но изменение entryDN uid кажется немного сложным ...
Что лучше: добавить настраиваемый атрибут или создать группу? Какая лучшая практика?
Здесь ничего нет. Что мы делаем, так это оставляем их в их последнем посте и деактивируем.
Вы можете создать группу и добавить их в нее, но я думаю, что перемещение их в новое подразделение - лучший ответ. Перемещение их в отдельное подразделение выполняет заявленную вами цель - «разделить их на нынешних и бывших сотрудников».
Кроме того, я бы принял следующие меры безопасности:
Я бы также принял меры предосторожности, изменив их оболочку входа на /bin/false
Обратите внимание, что вам следует изменить пароль и пометить учетную запись как отключенную. Вы можете удалить хэш passwd или заменить его чем-то, что вы позже узнаете, например ЗАМОК
Эти шаги не позволят бывшим сотрудникам войти в систему или, если они каким-то образом угадать пароль, сделать что-нибудь полезное.
В нашей Active Directory мы создаем сценарий, отключив учетную запись и переместив ее в OU прекращенных сотрудников. Через 6 месяцев в этом OU они удаляются. Может потребоваться много работы для изменения каждого из них вручную, но для этого и нужен сценарий.
Перемещение записи об учетной записи за пределы базы поиска по умолчанию для учетных записей является хорошей практикой.
Если ваши пользовательские записи - это листья или вы используете back_hdb в OpenLDAP, то вы можете использовать ldapmodrdn команда или ldap_rename () в API LDAP для их перемещения. Если это поддеревья, возможно, вам придется рекурсивно скопировать поддерево, а затем рекурсивно удалить его.