Estoy planeando la estructura del servidor OpenLDAP para integrarlo con múltiples aplicaciones (digamos 10 aplicaciones). En este tengo 8 aplicaciones internas (Aplicaciones Web y Móviles) y otras 2 dicen servicios externos como GitLab.
Nuestro escenario sería como usar las 10 aplicaciones con 1000 usuarios. Entre 1000 usuarios habrá diferentes roles como administrador, gerentes, desarrolladores, etc.
Todos los 1000 usuarios tendrán permiso/acceso para iniciar sesión en las aplicaciones (digamos cn=application3,cn=application4,cn=application5 como se muestra en la imagen).
Para cn=application1 y cn=application2 (que son servicios externos como GitLab e incluyen roles separados según la aplicación externa), solo unos pocos usuarios tendrán permiso para acceder/usar.
Según nuestro requisito, hemos insertado 1000 usuarios en cn=group1. Y en eso hemos movido pocos usuarios a cn=application1 y cn=application2 que necesitan acceso a esas aplicaciones. En el futuro, el tamaño de mi organización aumentará y también aumentará el número de solicitudes. Por ahora seguimos con la estructura como se muestra en la imagen. ¿Es esta la mejor práctica a seguir?
¿Alguien puede orientarme sobre cómo puedo solucionar esto? Como soy novato en OpenLDAP, avíseme si mencioné algo incorrecto.
Respuesta1
Tu diseño parece extraño.
- Normalmente los usuarios se mantienen en
ou=users,dc=example,dc=com,ou=accounts,dc=example,dc=comoou=people,dc=example,dc=com. - Los roles generalmente son considerados por un tipo de grupo (
groupOfNames,groupOfUniqueNamesoorganizationalRole) y se desempeñan en algo así comoou=groups,dc=example,dc=com.groupOfNameses lo más común. - Considere nombrar sus roles de alguna manera como
cn=admins+ou=app1,ou=groups,dc=example,dc=com. Esto le permitirá extraer todos los roles de app1 buscandoou=app1.