我正在規劃 OpenLDAP 伺服器的結構,以將其與多個應用程式(假設 10 個應用程式)整合。在此我有 8 個內部應用程式(Web 和行動應用程式)和另外 2 個外部服務,例如 GitLab。
我們的場景就像使用所有 10 個應用程式和 1000 個使用者。 1000個使用者中會有不同的角色,如管理員、經理、開發人員等。
所有 1000 個使用者都將有權登入應用程式(例如 cn=application3、cn=application4、cn=application5,如圖所示)。
對於 cn=application1 和 cn=application2 (它們是像 GitLab 這樣的外部服務,並且在外部應用程式中包含單獨的角色),只有少數使用者有權存取/使用。
根據我們的要求,我們已在 cn=group1 中插入 1000 個使用者。我們已將少數需要存取這些應用程式的使用者移至 cn=application1 和 cn=application2。未來,我的組織規模將會擴大,申請數量也會增加。現在我們繼續如圖所示的結構。這是應該遵循的最佳實踐嗎?
誰能指導我如何解決這個問題?由於我是 OpenLDAP 的新手,如果我提到任何錯誤,請告訴我。
答案1
你的佈局看起來很奇怪。
- 通常使用者被保留在
ou=users,dc=example,dc=com,ou=accounts,dc=example,dc=com或 中ou=people,dc=example,dc=com。 - 角色通常被認為是由某種類型的組(
groupOfNames、groupOfUniqueNames或organizationalRole)組成,並以類似的方式持有ou=groups,dc=example,dc=com。groupOfNames最常見。 - 考慮將您的角色命名為
cn=admins+ou=app1,ou=groups,dc=example,dc=com.這將允許您透過搜尋來提取 app1 的所有角色ou=app1。