Instalando e implementando o LDAP para aplicativos próprios

1

Temos um conjunto de várias aplicações web dedicadas aos nossos distribuidores e parceiros. Alguns são pacotes padrão, como o Alfresco, outros são sites personalizados.

Todos são protegidos por um login. Gostaríamos que nossos usuários tivessem um único login para todos esses aplicativos. Portanto, estamos considerando configurar um servidor OpenLDAP para atender a todas essas solicitações de autenticação de aplicativos.

Onde devemos armazenar direitos de usuário específicos do aplicativo? Tais como, quem pode usar app1, quem pode usar app2 e com qual papel? Deve ser armazenado em LDAP ou no banco de dados do aplicativo?

Em outras palavras, devemos manter o LDAP simplesmente para pesquisa básica de identidade / autenticação e acompanhar quem pode usar qual aplicativo no banco de dados de cada aplicativo? Ou podemos armazenar toda essa informação no LDAP (faria sentido)?

TIA para lançar alguma luz.

    
por Serge Wautier 03.09.2012 / 18:35

4 respostas

1

Para permissões mais granulares como 'tem direitos de edição na primeira página', eu manteria isso no nível do aplicativo, mas para simples permissões de nível de 'acesso de leitura / gravação' eu implementaria isso no ldap para simplificar.

Uma pegadinha a ser considerada é o número máximo de grupos aos quais um usuário pode se associar em algumas plataformas, portanto, eu usaria um nome personalizado para o atributo de associação de grupos de aplicativos para que você nem precise considerar isso.

    
por 03.09.2012 / 19:50
1

Use o LDAP para autenticar o usuário e o banco de dados do aplicativo para determinar se esse usuário tem ou não direitos. Você poderia fazê-lo apenas no LDAP, mas a separação traz benefícios e, na verdade, facilita o gerenciamento. Isso não é diferente de gerenciar contas de usuário em uma área e permissões de arquivos / pastas em outra.

    
por 04.09.2012 / 02:36
0

Coloque tudo no LDAP, é para isso.

    
por 03.09.2012 / 23:44
0

Uma coisa a destacar é que, embora seja tentador usar o Active Directory por causa de seus recursos LDAP, pode não ser a melhor escolha. AD, como muitos produtos da Microsoft, tendem a funcionar muito bem quando você adere a produtos da Microsoft, é quando você tem que começar a misturar ambientes que as coisas ficam estranhas. No entanto, para o crédito da Microsoft, eles melhoraram muito neste domínio nos últimos anos. O maior desafio que você pode encontrar é se você precisar fazer alterações de esquema no AD para suportar seus aplicativos. As alterações de esquema não são necessariamente suportadas pela Microsoft e têm o potencial de complicar futuras atualizações do AD. Embora, com toda a justiça, isso seja verdade para qualquer servidor LDAP, no entanto, eu diria que é mais comum que alterações de esquema sejam feitas em servidores LDAP. Se você tiver um servidor AD existente, poderá implementar uma operação de sincronização entre o servidor LDAP (como o Red Hat Directory Server) e o servidor do AD. Isso pode permitir que você sincronize nomes de usuários, mas mantenha informações específicas do sistema em cada domínio do servidor. Sim, isso adiciona alguma complexidade à administração, mas no geral é uma das abordagens mais flexíveis.

No final, a autenticação centralizada é regida por:

"Where do you want your pain?"
    
por 04.09.2012 / 00:03

Tags