OpenLDAP starten

8

Ich arbeite als Systemadministrator in einem Unternehmen und muss openLDAP bereitstellen. Ich habe viele Materialien gelesen, aber ich kann wirklich nicht herausfinden, wo ich anfangen soll.

Zunächst zum Unternehmen:

Dienstleistungen:

  1. E-Mail: Jeder Benutzer erhält ein E-Mail-Konto wie [email protected] und einen E-Mail-Alias ​​/ Weiterleiter im Format [email protected] oder manchmal [Vorname-Vorname] Nachname @ compant.com
  2. Jabber: Jeder Benutzer erhält ein Jabber-Konto im Format [email protected]. In einigen Fällen wird dies zu Vorname.Nachname, wenn Namen kollidieren.
  3. Trac und Redmine: Bei jeder Verwendung werden Konten für Trac und Redmine erstellt, die normalerweise sein Vorname sind.
  4. Ein timetrex-Login als Vorname oder Vorname.
  5. Ein Maschinen-Login, Vorname.
  6. Mitgliedschaft in Mailinglisten wie [email protected], [email protected], [email protected] usw.
  7. Ein MediaWiki-Konto, das wiederum das gleiche Format wie der E-Mail-Alias ​​/ Weiterleiter hat.
  8. Ein SSH-Konto auf einem Bereitstellungsserver im selben Format wie E-Mail-Alias ​​/ Weiterleitung.

Was ich denke, ich sollte tun: Ich sollte inetOrgPerson verwenden und ein benutzerdefiniertes Schema für unsere Organisation erstellen. Was ich nicht sicher bin, ist, wie ich so viele verschiedene Anmeldungen verwalten kann und wie die Software weiß, welche Anmeldung verwendet werden soll. Ich habe ein benutzerdefiniertes Schema geschrieben, in dem folgende Informationen gespeichert werden können:

  • Vollständiger Name
  • Telefon
  • Zelle
  • Adresse
  • Stadt
  • Land
  • Abteilung
  • Beitritt am

Wird mich jemand in die richtige Richtung weisen? Ich habe viel Zeit damit verschwendet, darüber zu suchen, konnte mir aber nichts einfallen lassen ... Ich weiß es wirklich zu schätzen, dass Sie sich Zeit nehmen und die Frage lesen.

linux ubuntu debian ldap openldap Shoaibi
quelle
Reduzieren Sie möglicherweise die Anzahl der unterschiedlichen Benutzernamen für die Anmeldung. Wenn Sie beispielsweise einen eigenen Mailserver haben, muss die Anmeldung nicht die E-Mail-Adresse sein. Lassen Sie die Personen 1 Benutzernamen für Anmeldungen haben und alle Dienste suchen ldap für diese Anmeldung und dieses Passwort.
Mivk

Antworten:

10

Sie müssen hierfür wirklich kein benutzerdefiniertes Schema erstellen. Wir haben 1-3 und 5-8 mit nur inetOrgPerson und posixAccount mit ein wenig benutzerdefiniertem Trac-Schema (aus dem Web heruntergeladen) erreicht.

Es gibt zwei große Probleme beim Erlernen der Bereitstellung eines LDAP-Verzeichnisses:

  • Offenbar ist es eine geheime Magie, ein gutes Layout für das Verzeichnis zu bestimmen.
  • Es ist keine geheime Magie, ein gutes Layout für das Verzeichnis zu bestimmen.

Mein Rat ist, klein anzufangen, vorhandene Schemata zu verwenden und die Dinge Schritt für Schritt zu integrieren. Es ist relativ einfach, Informationen zum Verzeichnis hinzuzufügen oder neue Objektklassen über Entitäten zu legen. Es wird nur schwierig, wenn Sie Informationen aus dem Verzeichnis verschieben oder löschen möchten.

Verwenden Sie auch ein größtenteils flaches Organisationsschema, sonst werden Sie verrückt.

Viel Glück, ich verspreche es ist einfacher als es aussieht.

Paul Lathrop
quelle
1
+1 Vermeiden Sie benutzerdefinierte Schemata, wenn Sie können. Sie verursachen in Zukunft wahrscheinlich Kopfschmerzen.
Theotherreceive
+1 für die Antwort und für Kommentare zum Vermeiden benutzerdefinierter Schemata.
Asdmin
1
Mitgliedschaften werden normalerweise besser mit Gruppen gehandhabt. Ich empfehle nachdrücklich, von Anfang an über ein Barebone-Gruppenlayout nachzudenken.
Francesco Malvezzi