Каково максимальное значение для ценуроза в OpenLDAP
Наша компания имеет много отдельных сайтов, что в настоящее время у каждого есть их собственная схема аутентификации Linux. Мы смотрим на перепроектирование, чтобы иметь объединенную схему того с будущим планом портирования всех учетных записей к единственному LDAP, вероятному OpenLDAP. Как часть этой первой фазы, мы хотели бы восстановить все ценурозы для установки по крайней мере своего рода стандарту. Мы хотели бы выделить диапазон ценурозов на каждый сайт для использования по мере необходимости. Мы надеемся запускаться в ценурозе 10000 (для предотвращения системных ценурозов, и любой другой уже установил ценурозы на каком-то конкретном сайте), и выделите по крайней мере 1 000 ценурозов каждый из них для использования. Этот план помещает наш самый высокий ценуроз в только под 300 000.
Вопрос сводится, может ли OpenLDAP сослаться на ценуроз тот высоко. Это не вопрос того, сколько ценурозов, поскольку большинству тех сайтов в настоящее время не нужны ценурозы Linux. Это просто, имел ли OpenLDAP проблему, получающую доступ к значению, по крайней мере, тот высоко или выше. Это - мое понимание, которые, что *ОТКЛОНЯЮТ OSs, полагают, что "ценуроз" является просто значением к OpenLDAP, так теоретически, не должно быть ограничения на сторону OpenLDAP, но я не нашел указанным, или никто, кто успешно использовал ценуроз больше чем 200 000.
Кто-либо на самом деле знает при использовании ценуроза в 300 000 причин диапазона проблема с OpenLDAP?
GidNumber неограничен.
GID номер определяется как целое число в схематических определениях
attributetype ( 1.3.6.1.1.1.1.1 NAME 'gidNumber'
DESC 'An integer uniquely identifying a group in an administrative domain'
EQUALITY integerMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
в соответствии с RFC 4517 LDAP: Синтаксис и правила сопоставления
3.3.16. Целое
Значение целочисленного синтаксиса составляет целое число неограниченных
. амплитуда. Специфическое для LDAP кодирование значения этого синтаксиса равно
. опционально подписанное представление строки символов из десятичных цифр
. числа (например, число 1321 представлено
). строка символов "1321"). Кодировка определяется ...
Так как это символьная строка, а не число, максимальный размер которого не определен операционной системой для знакового целого и GID номер в LDAP неограничен.
С другой стороны, поддержка вашей операционной системы и библиотек PAM может быть ограничена до 65534.
.1 / Да, лимит gid и uid практически неограничен.
2 / Я столкнулся с регрессом со старой командой tar (не с GNU tar), которая не могла распаковать с более чем ~ 2000000 как uid / gid. С GNU tar нет проблем. Я остаюсь под лимитом.
3 / Я настоятельно рекомендую иметь uid / gid Ldap поверх диапазона Unix Uid / Gid, равного 65535. Когда вы интегрируете Ldap с Unix (с sssd / nslcd / openldap-ssh и т. Д.), Вы рискуете получить uid / gid. столкновение. Я столкнулся с этим, группа смешивается, что ломает и добавляет незащищенности.
4 / Например, диапазон uid / gid для FreeIpa Ldap по умолчанию может превышать миллионы.