У нашей компании есть много отдельных сайтов, каждый из которых в настоящее время имеет свою схему аутентификации Linux. Мы планируем перепроектировать, чтобы иметь единую схему с будущим планом переноса всех учетных записей на один LDAP, вероятно, OpenLDAP. В рамках этого первого этапа мы хотели бы переделать все gid, чтобы они соответствовали хотя бы некоторому стандарту. Мы хотели бы выделить для каждого сайта ряд gid, которые будут использоваться по мере необходимости. Мы хотим начать с gid 10000 (чтобы избежать системных gid и любых других уже установленных gid на каком-либо конкретном сайте) и выделить не менее 1000 gid для каждого из них. По этому плану наша максимальная ставка составляет чуть менее 300000.
Вопрос сводится к тому, может ли OpenLDAP ссылаться на такой высокий gid. Дело не в том, сколько gid, поскольку большинству этих сайтов в настоящее время не нужны gid Linux. Просто возникнет ли у OpenLDAP проблема с доступом к значению, по крайней мере, такому или большему. Насколько я понимаю, то, что ОС * NIX считает "gid", - это просто значение OpenLDAP, поэтому теоретически не должно быть ограничений на стороне OpenLDAP, но я не нашел этого, или кого-либо, кто успешно использовал гид более 200000.
Кто-нибудь действительно знает, вызывает ли использование gid в диапазоне 300000 проблему с OpenLDAP?
GidNumber не ограничен.
Номер GID определяется как целое число в определения схемы
attributetype ( 1.3.6.1.1.1.1.1 NAME 'gidNumber'
DESC 'An integer uniquely identifying a group in an administrative domain'
EQUALITY integerMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
В соответствии с RFC 4517 LDAP: синтаксис и правила сопоставления
3.3.16. Целое число
Значение синтаксиса Integer: целое количество неограниченных
величина. Кодировка значения этого синтаксиса, специфичная для LDAP:
представление строки символов десятичной цифры со знаком
числа (например, число 1321 представлено
символьная строка «1321»). Кодировка определяется ...
Поскольку это символьная строка, а не число, у вас нет максимального размера, определенного ОС для целого числа со знаком и количество GID в LDAP не ограничено.
С другой стороны, поддержка вашей ОС и библиотеки PAM могут быть ограничены 65534.
1 / Да, лимит gid и uid практически неограничен.
2 / Я столкнулся с регрессом со старой командой tar (не с GNU tar), которая не могла распаковать с более чем ~ 2000000 как uid / gid. С GNU tar нет проблем. Я остаюсь под лимитом.
3 / Я настоятельно рекомендую иметь uid / gid Ldap поверх диапазона Unix Uid / Gid 65535. Когда вы интегрируете Ldap с Unix (с sssd / nslcd / openldap-ssh и т. Д.), Вы рискуете столкнуться с конфликтом uid / gid. Я столкнулся с этим, группа смешивается, что ломает и добавляет незащищенности.
4 / Например, диапазон uid / gid по умолчанию FreeIpa Ldap может превышать миллионы.