我已经找到了很多关于在 Ubuntu 上安装 OpenLDAP 的资源/教程,并且我已经成功配置了我的服务器(启动并运行并成功进行身份验证)。我的问题与我应该如何设置架构有关,因为我似乎找不到任何有用的资源。我也开始认为我试图让 LDAP 做更多超出预期的事情,如果是这样的话,请随时指出这一点。这是我的场景:
3 台服务器上有各种支持 LDAP 的应用程序(大部分基于 Web),3-5 类用户(开发人员、实习生、客户、经理等),每类用户都需要访问所有应用程序的一个子集
我原本想做的是将每个用户分配给某个“角色”,然后将应用程序权限授予该角色而不是用户。这样,当我添加新用户时,我只需为他们分配一个角色,而不是访问单个应用程序。同样,如果我们添加了一个新应用程序或决定一类用户应该有权访问某个现有应用程序,那么只需要更新角色而不是每个用户。
我可以/应该用 LDAP 来做这些吗,或者我应该寻找诸如 samba 之类的替代方案?
答案1
您应该能够使用常规组来做您想做的事情。将所有用户放在 下ou=People,然后将人员映射到 下的组ou=Group,并教您的应用程序查看相关组的成员身份。
答案2
我发现这篇文章很有用:LDAP 树设计。Womble 的评论是您想将所有用户置于 ou=People 之下,这是所检查的要点之一。
答案3
这绝对符合 LDAP 的预期用途。所有启用 LDAP 的应用程序都应与基于组的访问控制配合使用。