Ich plane die Struktur des OpenLDAP-Servers, um ihn in mehrere Anwendungen (sagen wir 10 Anwendungen) zu integrieren. Darin habe ich 8 interne Anwendungen (Web- und Mobilanwendungen) und 2 weitere, sagen wir externe Dienste wie GitLab.
Unser Szenario wäre, alle 10 Anwendungen mit 1000 Benutzern zu verwenden. Unter 1000 Benutzern gibt es verschiedene Rollen wie Administratoren, Manager, Entwickler usw.
Alle 1.000 Benutzer haben die Berechtigung/Zugriff, sich bei den Anwendungen anzumelden (z. B. cn=application3, cn=application4, cn=application5, wie in der Abbildung gezeigt).
Für cn=application1 und cn=application2 (externe Dienste wie GitLab, die gemäß externer Anwendung separate Rollen umfassen) haben nur wenige Benutzer die Berechtigung für den Zugriff/die Verwendung.
Gemäß unseren Anforderungen haben wir 1000 Benutzer in cn=group1 eingefügt. Und dabei haben wir einige Benutzer, die Zugriff auf diese Anwendungen benötigen, in cn=application1 und cn=application2 verschoben. In Zukunft wird meine Organisation größer und die Anzahl der Anwendungen wird ebenfalls zunehmen. Im Moment fahren wir mit der Struktur fort, die im Bild gezeigt wird. Ist das die beste Vorgehensweise?
Kann mir bitte jemand erklären, wie ich damit klarkomme? Da ich ein Neuling bei OpenLDAP bin, lassen Sie mich bitte wissen, wenn ich etwas Falsches erwähnt habe.
Antwort1
Ihr Layout sieht seltsam aus.
- Normalerweise werden Benutzer in
ou=users,dc=example,dc=comoderou=accounts,dc=example,dc=comgehaltenou=people,dc=example,dc=com. - Rollen werden im Allgemeinen als durch einen Gruppentyp (
groupOfNames,groupOfUniqueNamesoderorganizationalRole) betrachtet und in etwas wie gehaltenou=groups,dc=example,dc=com.groupOfNamesist am gebräuchlichsten. - Sie können Ihren Rollen etwa Namen wie geben
cn=admins+ou=app1,ou=groups,dc=example,dc=com. Auf diese Weise können Sie alle Rollen für app1 abrufen, indem Sie nach suchenou=app1.