Структура OpenLDAP и обслуживание пользователей на основе ролей
Я планирую структуру сервера OpenLDAP для интеграции его с несколькими приложениями (скажем, с 10 приложениями). Здесь у меня есть 8 внутренних приложений (веб-приложения и мобильные приложения), а еще 2 говорят о внешних сервисах, таких как GitLab.
Наш сценарий похож на использование всех 10 приложений с 1000 пользователей. Среди 1000 пользователей будут разные роли, такие как администратор, менеджеры, разработчики и т. Д.
Все 1000 пользователей будут иметь разрешение / доступ для входа в приложения (скажем, cn = application3, cn = application4, cn = application5, как показано на рисунке).
Для cn = application1 и cn = application2 (которые являются внешними службами, такими как GitLab и включают отдельные роли в соответствии с внешним приложением), только несколько пользователей будут иметь разрешение на доступ /use.
В соответствии с нашим требованием мы добавили 1000 пользователей в cn = group1. В связи с этим мы переместили в cn = application1 и cn = application2 несколько пользователей, которым нужен доступ к этим приложениям. В будущем размер моей организации будет увеличиваться, как и количество заявок. На данный момент мы продолжаем строить структуру, как показано на рисунке. Следует ли следовать этой лучшей практике?
Кто-нибудь, пожалуйста, посоветуйте мне, как мне с этим работать ?? Поскольку я новичок в OpenLDAP, дайте мне знать, если я упомянул что-нибудь не так.
Ваш макет выглядит странно.
- Обычно пользователи хранятся в
ou = users, dc = example, dc = com,ou = accounts, dc = example, dc = comилиou = people , dc = пример, dc = com. - Роли обычно рассматриваются по типу группы (
groupOfNames,groupOfUniqueNamesилиorganizationRole) и удерживаются в чем-то вродеou = groups, dc = пример, dc = com.groupOfNamesявляется наиболее распространенным. - Назовите свои роли примерно так:
cn = admins + ou = app1, ou = groups, dc = example, dc = com. Это позволит вам получить все роли для app1, выполнив поиск по запросуou = app1.