Um único servidor de autenticação LDAP para duas empresas

2

Eu gerencio a rede para uma pequena empresa (mycompany.com) com 10 desenvolvedores de software e um laboratório (thelab.org) com 5 cientistas. Mas o número total de pessoas é 12, pois 3 delas trabalham tanto para o laboratório quanto para a empresa. Em certo sentido, o laboratório é uma subsidiária da empresa.

Embora existam dois nomes de domínio diferentes (com e-mails e JIDs), o laboratório e a empresa compartilham um servidor comum.

Em algum momento, decidimos mover os usuários para o LDAP para executar uma réplica LDAP do escravo no escritório e ter uma autenticação centralizada. Isso não é um problema se houvesse uma única empresa, mas com dois deles eu fico preso.

  1. Base LDAP: um ou dois?
  2. Base LDAP: baseada em dc ou baseada em o / ou?
  3. A maneira de distinguir a empresa / laboratório dos usuários? devemos ainda usar grupos para isso (temos usuários / grupos em passwd / groups agora)

Em alguns PCs eu gostaria de ter todos eles, mas alguns terão que filtrar usuários (nós estamos rodando Linux e algumas vezes o FreeBSD, então pam_ldapd é a nossa escolha)

E também prefiro armazenar informações sobre sudoers no LDAP.

E, estamos executando o Exim4 MTA + Dovecot LDA e seria ótimo decidir automaticamente a parte do domínio se um único nome de usuário for fornecido (novamente, torná-los usando o LDAP não é um problema para uma única configuração da empresa). Observe que as pessoas que trabalham tanto para a empresa quanto para o laboratório têm os dois endereços de e-mail que realmente mapeiam para um único maildir:)

Quaisquer receitas e ideias apreciadas.

    
por saabeilin 27.04.2012 / 07:27

1 resposta

0

Ok, aqui está como eu faria:

  1. Uma base LDAP, sempre uma base LDAP. Mesmo que o conjunto de ferramentas que você está usando suporte várias vezes, em algum lugar, você precisará usar algo que não seja. Disclaimer: Eu nunca tentei.

  2. Eu sempre uso dc baseado agora. É muito mais fácil de lembrar e ter uma estrutura de DNS que corresponda à estrutura LDAP parece mais intuitiva para mim. Dizendo isso, tive problemas em obter certificados emitidos no passado.

  3. Dois grupos com alguns membros comuns definitivamente sentem o caminho certo.

No que diz respeito aos sudoers, no Linux eu sempre configuro grupos no arquivo sudoers e depois adiciono e gerencio os grupos usando o LDAP. Eu sei que você pode construir o sudo para usar o LDAP nativamente, mas ele não vem assim em nenhuma das plataformas que eu uso, então eu não uso.

Eu apenas toquei com o exim e o dovecot, mas gostaria de configurar os dois registros MX para apontar para o mesmo servidor e fazer com que os usuários configurem os endereços de e de resposta conforme acharem melhor.

    
por 30.07.2012 / 12:22