Você deve ser capaz de fazer o que quiser usando grupos regulares. Coloque todos os seus usuários em ou=People
, mapeie as pessoas para grupos em ou=Group
e ensine seus apps a ver a associação do (s) grupo (s) relevante (s).
Eu encontrei muitos recursos / tutoriais sobre a instalação do OpenLDAP no Ubuntu, e configurei com sucesso o meu servidor (instalado e funcionando e autenticando com sucesso). Minha pergunta se refere a como eu deveria configurar o esquema, pois não consigo encontrar nenhum recurso útil sobre isso. Eu também estou começando a pensar que estou tentando fazer o LDAP fazer mais do que pretendia fazê-lo. Por favor, sinta-se à vontade para apontar isso, se for esse o caso. Aqui está o meu cenário:
3 Servidores com vários aplicativos compatíveis com LDAP em cada um (principalmente na Web) 3-5 classes de usuários (desenvolvedores, estagiários, clientes, gerentes, etc), cada classe de usuário requer acesso a um subconjunto de todas as aplicações
O que eu pensava fazer era atribuir a cada usuário uma 'função' e, em seguida, conceder permissão ao aplicativo para a função e não para o usuário. Dessa forma, quando eu adiciono novos usuários, eu só tenho que atribuir-lhes uma função em vez de acesso a aplicativos individuais. Além disso, se adicionássemos um novo aplicativo ou decidíssemos que uma classe de usuários deveria ter acesso a algum aplicativo existente, isso exigiria apenas a atualização da função, em vez de todos os usuários.
Isso é algo que eu posso / deveria fazer com o LDAP, ou deveria estar olhando para uma alternativa como o samba?
Você deve ser capaz de fazer o que quiser usando grupos regulares. Coloque todos os seus usuários em ou=People
, mapeie as pessoas para grupos em ou=Group
e ensine seus apps a ver a associação do (s) grupo (s) relevante (s).
Eu achei este artigo útil: Desenho de árvore LDAP . A observação de Womble de que você quer colocar todos os usuários sob ou = People é um dos pontos examinados.
Isso está definitivamente dentro do uso esperado do LDAP. Todos os aplicativos habilitados para LDAP devem funcionar com controle de acesso baseado em grupo.