Estou planejando a estrutura do servidor OpenLDAP para integrá-lo a vários aplicativos (digamos 10 aplicativos). Neste tenho 8 aplicativos internos (aplicativos Web e Mobile) e outros 2 dizem serviços externos como GitLab.
Nosso cenário seria como usar todos os 10 aplicativos com 1.000 usuários. Entre 1.000 usuários, haverá diferentes funções, como administrador, gerentes, desenvolvedores, etc.
Todos os 1000 usuários terão permissão/acesso para fazer login nos aplicativos (digamos cn=application3,cn=application4,cn=application5 conforme mostrado na imagem).
Para cn=application1 e cn=application2 (que são serviços externos como o GitLab e incluem funções separadas conforme o aplicativo externo), apenas alguns usuários terão permissão para acessar/usar.
De acordo com nossa exigência, inserimos 1.000 usuários em cn=group1. E com isso movemos poucos usuários para cn=application1 e cn=application2 que precisam de acesso a esses aplicativos. No futuro, o tamanho da minha organização aumentará e o número de inscrições também aumentará. Por enquanto continuamos com a estrutura mostrada na imagem. Esta é a melhor prática a seguir?
Alguém pode me orientar sobre como posso resolver isso? Como sou novato no OpenLDAP, informe-me se mencionei algo errado.
Responder1
Seu layout parece estranho.
- Normalmente os usuários são mantidos em
ou=users,dc=example,dc=com,ou=accounts,dc=example,dc=comouou=people,dc=example,dc=com. - As funções são geralmente consideradas por um tipo de grupo (
groupOfNames,groupOfUniqueNamesouorganizationalRole) e mantidas em algo comoou=groups,dc=example,dc=com.groupOfNamesé mais comum. - Considere nomear suas funções com algo como
cn=admins+ou=app1,ou=groups,dc=example,dc=com. Isso permitirá que você extraia todas as funções do app1 pesquisando porou=app1.