我正在 Ubuntu 上设置 OpenLDAP 服务器,以便它成为身份验证的权威用户数据库。我将使用 Atlassian Crowd,以便 Google Apps 可以针对 Crowd 使用 SSO。
为了进一步最大化对 LDAP 的投资,我想使用 Google 的目录同步工具,以便 IT 可以管理 LDAP 详细信息,然后同步工具将上传到 Google。这还可以确保如果用户使用 Crowd 更改密码,GADS 会将密码重新同步到 Google,以便智能手机、POP 等非 SSO 应用程序继续工作。
我的问题是如何最好地定义 OpenLDAP 中的某些对象。人们似乎相当直接地定义,因为 inetOrgPerson objectClass 定义了我想要的所有属性。
邮件组和联系人似乎更难确定,因为我找不到符合条件的任何 objectClasses。例如,groupOfUniqueNames 没有 mail 属性(用于定义电子邮件地址)。我找不到任何看起来像联系人的东西。
GADS 的文档表明,该工具会寻找“文字”之类的属性来保存电子邮件地址。对于联系人可以使用什么,没有任何建议。
关于我该如何进行,有什么建议吗?我确实想对群组使用 LDAP 而不是 Google Apps,因为我还想使用群组成员资格来控制对资源的访问,例如对服务器的 SSH 访问、git 存储库访问等。
非常感谢。
答案1
事实证明,Google 的同步工具 GADS 对于 objectClasses 等内容非常灵活。事实上,没有必要担心这个层面的事情。GADS 允许您告诉它哪个属性指的是哪条信息,您还可以定义搜索过滤器来帮助它获取用户或群组等信息。
因此,我最终使用 groupOfUniqueNames 作为邮件列表组,并向其中添加 extensibleObject 类,以便我定义缺少的属性,例如电子邮件地址。
答案2
如果是 openldap,那么您可以使用允许空列表的 groupOfURIs 来链接个人和团体(dynlist 覆盖允许您从其目的地吸取一些其他属性。希望有帮助。man slapo-dynlist。