Estou configurando um servidor OpenLDAP no Ubuntu para que este seja o banco de dados autoritativo do usuário para autenticação. Vou usar o Atlassian Crowd para que o Google Apps possa usar o SSO contra o Crowd.
Para maximizar ainda mais o investimento no LDAP, desejo usar a ferramenta de sincronização de diretório do Google para que a TI possa gerenciar os detalhes do LDAP e, em seguida, a ferramenta de sincronização fará o upload para o Google. Isso também garantirá que, se o usuário usar o Crowd para alterar sua senha, o GADS sincronizará novamente a senha para o Google, para que aplicativos não-SSO, como smartphones, POP, etc., continuem funcionando.
Minha pergunta é sobre como definir melhor alguns dos objetos no OpenLDAP. As pessoas parecem ser bastante diretas para definir como o inetOrgPerson objectClass define todos os atributos que eu quero.
Grupos e contatos de e-mail parecem ser mais difíceis de serem definidos, já que não consigo encontrar objetosClasses que se encaixam na conta. Por exemplo, groupOfUniqueNames não possui um atributo de email (para definir o endereço de email). Não consigo encontrar nada que pareça se assemelhar a um contato.
A documentação do GADS sugere que a ferramenta procure um atributo como "literal" como o endereço de e-mail. Não há sugestões sobre o que pode ser usado para contatos.
Alguma sugestão sobre como posso prosseguir? Eu quero usar o LDAP para os grupos, em vez do Google Apps, porque também quero usar a associação ao grupo para controlar o acesso a recursos, como acesso SSH a servidores, acesso a repositório git, etc.
Muito obrigado.