两家公司共用一个 LDAP 身份验证服务器

两家公司共用一个 LDAP 身份验证服务器

我为一家小公司 (mycompany.com) 运营网络,该公司有 10 名软件开发人员和一个实验室 (thelab.org),实验室有 5 名科学家。但总人数是 12 人,因为其中 3 人同时为实验室和公司工作。从某种意义上说,实验室是公司的子公司。

虽然有两个不同的域名(其中包含电子邮件和 JID),但实验室和公司共用一个服务器。

在某些时候,我们决定将用户转移到 LDAP,以便在办公室运行从属 LDAP 副本并进行集中身份验证。如果只有一家公司,这不是问题,但如果有两家公司,我就陷入困境了。

  1. LDAP 基础:一个还是两个?
  2. LDAP 基础:基于 dc 还是基于 o/ou?
  3. 区分用户“公司/实验室”的方法是什么?我们是否仍应使用组来实现这一点(我们现在在 passwd/groups 中有用户/组)

在某些电脑上,我希望拥有所有这些,但有些电脑必须过滤用户(我们有时运行 Linux 和一些 FreeBSD,因此 pam_ldapd 是我们的选择)

而且,我也更喜欢将 sudoers 信息存储在 LDAP 中。

而且,我们正在运行 Exim4 MTA + Dovecot LDA,如果它们能够自动决定域部分(如果给出单个用户名,那么就太好了)(再次强调,对于单个公司设置,使用 LDAP 不是问题)。请注意,那些同时为公司和实验室工作的人都有两个电子邮件地址,它们实际上映射到一个邮件目录 :)

任何食谱和想法都值得赞赏。

答案1

好的,下面是我的做法:

  1. 一个 LDAP 基础,永远只有一个 LDAP 基础。即使您使用的工具套件支持多个,在某些时候您也需要使用不支持的工具。免责声明:我从未尝试过。

  2. 我现在总是使用基于 dc 的。它更容易记住,并且拥有与 LDAP 结构相匹配的 DNS 结构对我来说感觉更直观。话虽如此,我过去在颁发证书时遇到了问题。

  3. 两个拥有一些共同成员的团体肯定感觉到了正确的前进方向。

就 sudoers 而言,在 Linux 上,我总是在 sudoers 文件中设置组,然后使用 LDAP 添加和管理组。我知道您可以构建 sudo 以本机使用 LDAP,但在我使用的任何平台上都没有这样做,所以我没有这样做。

我只玩过 exim 和 dovecot,但我会设置两个 MX 记录以指向同一台服务器,并让用户根据自己的需要配置他们的发件人和回复地址。

相关内容