É uma idéia ruim armazenar algo mais do que informações do usuário no FreeIPA?

Navegue suas respostas
1

Em $ company, atualmente temos uma configuração baseada em um OpenLDAP com alguma hierarquia homegrown ^ Whomemutated, além de alguns outros dados armazenados no MySQL.

O servidor OpenLDAP contém dados como usuários internos, contato de clientes (que pode ter acesso a parte de nossas ferramentas internas, então alguns têm informações de usuário / senha), freelancers com quem trabalhamos e lista de endereços. O banco de dados MySQL contém alguns dados duplicados desses mesmos usuários e algumas informações complementares, como dados sobre a empresa do cliente, projetos que dependem da empresa e, por extensão, do cliente, etc.

Meu plano ideal seria consolidar tudo em uma única fonte de verdade.

A parte interessante do FreeIPA para nós é:

  • Fornecer ponto de entrada LDAP, todos os serviços internos que usamos podem ser vinculados a um servidor LDAP
  • Forneça o ponto de entrada REST, seria ideal para nosso desenvolvimento interno.
  • Facilidade de integração, pois basicamente vem com tudo o que é necessário para gerenciar a autorização
  • De alguma forma, hierarquia padrão (pela oposição de totalmente homegrown)

Como o estado da documentação, o FreeIPA tem um foco restrito, sendo um IdM e não um repositório LDAP genérico, mas isso significa que se você deseja estender suas informações de relação (por exemplo: para este projeto, temos esses usuários internos e esses clientes) você tem que ter alguma duplicação em outra ferramenta (username / userid, grupos no FreeIPA para autorização, projetos correspondentes ou empresa no armazenamento de dados complementar). Isso significa possível estado incoerente entre os dados em ambas as lojas, necessidade de algum tipo de sincronização, etc.

Então, eu estou querendo saber se estender o FreeIPA para armazenar empresas ou informações de projeto, por exemplo, seria uma idéia tão ruim e, em caso afirmativo, por que?

    
por Mayeu 20.09.2016 / 20:13

1 resposta

2

Não é uma má ideia, mas você precisa planejar bem. Os mestres do FreeIPA replicam dados entre eles, portanto, é melhor manter as extensões de esquema LDAP com ferramentas de empacotamento para que elas existam em todos os sistemas. O mesmo se aplica aos plug-ins de estrutura.

Até o FreeIPA 4.4.1 houve um problema com as extensões de esquema fornecidas externamente - elas não foram incluídas na fase de instalação, portanto, você não podia ter suas extensões instaladas desde o início, devido à falta de classe / atributos de objeto na atualização do ponto código executa a geração de seus ACIs específicos do plugin, você só pode adicioná-los mais tarde. Veja o tópico no link para obter mais detalhes.

No FreeIPA 4.4.1 eu consertei esse problema (resultado da discussão acima) e agora você pode ter extensões totalmente separadas - veja o exemplo no meu plugin de integração FleetCommander em link . Atualmente estou trabalhando em um guia de extensibilidade para o FreeIPA 4.4.1 ou posterior, para substituir meu guia antigo ( link ), que tornou-se mais ou menos desatualizado e não cobre problemas de manutenção / distribuição, bem como o design de controles de acesso.

Desde que você mantenha suas adições em uma configuração autônoma para o FreeIPA 4.4.1 ou posterior, você deve estar bem.

    
por 21.09.2016 / 08:44

Tags

O regex Fail2ban não corresponde ao meu log Autenticação do usuário do AD para o Exchange 2016