Я нашел множество ресурсов / руководств по установке OpenLDAP на Ubuntu, и я успешно настроил свой сервер (запущен, работает и успешно проходит аутентификацию). Мой вопрос касается того, как мне настроить схему, поскольку я не могу найти никаких полезных ресурсов по этому поводу. Я также начинаю думать, что пытаюсь заставить LDAP делать больше, чем он был предназначен, поэтому, пожалуйста, не стесняйтесь указать на это, если это так. Вот мой сценарий:
3 сервера с различными приложениями с поддержкой LDAP для каждого (в основном веб-интерфейса) 3-5 классов пользователей (разработчики, стажеры, клиенты, менеджеры и т. Д.), Каждому классу пользователей требуется доступ к подмножеству всех приложений
Я решил назначить каждому пользователю некую «роль», а затем предоставить приложению разрешение на эту роль, а не на пользователя. Таким образом, когда я добавляю новых пользователей, мне нужно назначать им только роль, а не доступ к отдельным приложениям. Также таким образом, если мы добавили новое приложение или решили, что класс пользователей должен иметь доступ к какому-либо существующему приложению, тогда потребуется обновить только роль, а не каждого пользователя.
Могу ли я это делать с LDAP, или мне следует искать альтернативу, например, самбу?
Вы должны уметь делать то, что хотите, используя обычные группы. Поместите всех своих пользователей в ou=People, затем сопоставьте людей с группами ниже ou=Group и научите свои приложения смотреть на членство в соответствующей группе (группах).
Это определенно находится в пределах ожидаемого использования LDAP. Все приложения с поддержкой LDAP должны работать с контролем доступа на основе групп.
Я нашел эту статью полезной: Дизайн дерева LDAP. Замечание Уомбла о том, что вы хотите поместить всех пользователей в группу ou = People, является одним из рассмотренных пунктов.