Procurando conselhos sobre objectClasses LDAP para sincronização com o Google Apps

1

Estou configurando um servidor OpenLDAP no Ubuntu para que este seja o banco de dados autoritativo do usuário para autenticação. Vou usar o Atlassian Crowd para que o Google Apps possa usar o SSO contra o Crowd.

Para maximizar ainda mais o investimento no LDAP, desejo usar a ferramenta de sincronização de diretório do Google para que a TI possa gerenciar os detalhes do LDAP e, em seguida, a ferramenta de sincronização fará o upload para o Google. Isso também garantirá que, se o usuário usar o Crowd para alterar sua senha, o GADS sincronizará novamente a senha para o Google, para que aplicativos não-SSO, como smartphones, POP, etc., continuem funcionando.

Minha pergunta é sobre como definir melhor alguns dos objetos no OpenLDAP. As pessoas parecem ser bastante diretas para definir como o inetOrgPerson objectClass define todos os atributos que eu quero.

Grupos e contatos de e-mail parecem ser mais difíceis de serem definidos, já que não consigo encontrar objetosClasses que se encaixam na conta. Por exemplo, groupOfUniqueNames não possui um atributo de email (para definir o endereço de email). Não consigo encontrar nada que pareça se assemelhar a um contato.

A documentação do GADS sugere que a ferramenta procure um atributo como "literal" como o endereço de e-mail. Não há sugestões sobre o que pode ser usado para contatos.

Alguma sugestão sobre como posso prosseguir? Eu quero usar o LDAP para os grupos, em vez do Google Apps, porque também quero usar a associação ao grupo para controlar o acesso a recursos, como acesso SSH a servidores, acesso a repositório git, etc.

Muito obrigado.

    
por Philip Colmer 21.12.2012 / 16:12

2 respostas

1

Acontece que a ferramenta de sincronização do Google, o GADS, é muito flexível sobre coisas como objectClasses. Na verdade, não é necessário se preocupar com as coisas nesse nível. O GADS permite que você diga a ele qual atributo se refere a qual parte da informação e também pode definir o filtro de pesquisa para ajudá-lo a obter, digamos, os usuários ou apenas os grupos.

Então, acabei usando groupOfUniqueNames para os grupos de listas de discussão e adicionei a classe extensibleObject àquela para permitir que eu definisse os atributos ausentes como o endereço de email.

    
por 25.01.2013 / 14:43
0

Se for openldap do que você pode usar groupOfURIs, que permite a lista vazia, link entre pessoas e grupos (overlay dynlist permite que você sugira alguns outros atributos de seu destino. Espero que ajude. man slapo-dynlist.

    
por 22.01.2013 / 18:50