OpenLDAP架構及基於角色的使用者維護

OpenLDAP架構及基於角色的使用者維護

我正在規劃 OpenLDAP 伺服器的結構,以將其與多個應用程式(假設 10 個應用程式)整合。在此我有 8 個內部應用程式(Web 和行動應用程式)和另外 2 個外部服務,例如 GitLab。

LDAP 使用者和應用程式層次結構

我們的場景就像使用所有 10 個應用程式和 1000 個使用者。 1000個使用者中會有不同的角色,如管理員、經理、開發人員等。

所有 1000 個使用者都將有權登入應用程式(例如 cn=application3、cn=application4、cn=application5,如圖所示)。

對於 cn=application1 和 cn=application2 (它們是像 GitLab 這樣的外部服務,並且在外部應用程式中包含單獨的角色),只有少數使用者有權存取/使用。

根據我們的要求,我們已在 cn=group1 中插入 1000 個使用者。我們已將少數需要存取這些應用程式的使用者移至 cn=application1 和 cn=application2。未來,我的組織規模將會擴大,申請數量也會增加。現在我們繼續如圖所示的結構。這是應該遵循的最佳實踐嗎?

誰能指導我如何解決這個問題?由於我是 OpenLDAP 的新手,如果我提到任何錯誤,請告訴我。

答案1

你的佈局看起來很奇怪。

  • 通常使用者被保留在ou=users,dc=example,dc=com,ou=accounts,dc=example,dc=com或 中ou=people,dc=example,dc=com
  • 角色通常被認為是由某種類型的組(groupOfNamesgroupOfUniqueNamesorganizationalRole)組成,並以類似的方式持有ou=groups,dc=example,dc=comgroupOfNames最常見。
  • 考慮將您的角色命名為cn=admins+ou=app1,ou=groups,dc=example,dc=com.這將允許您透過搜尋來提取 app1 的所有角色ou=app1

相關內容