(Прошу прощения, если я неправильно понял терминологию, я новичок в LDAP)
Я настраиваю локальный сервер LDAP (сервер каталогов Apache) со следующей структурой:
o={my organization name} [objectClass=organization]
ou=groups [objectClass=organizationalUnit]
cn=someGroup [objectClass=groupOfUniqueNames]
cn=otherGroup [objectClass=groupOfUniqueNames]
...
ou=users [objectClass=organizationalUnit]
cn=user1 [objectClass=inetOrgPerson]
cn=user2 [objectClass=inetOrgPerson]
cn=user3 [objectClass=inetOrgPerson]
...
Еще я установил некоторую базовую авторизацию по мануалу .
Все отлично работает.
Теперь у меня проблема. У меня есть другой сервер, на котором работает Atlassian Crowd, которому нужен доступ к этому LDAP, и я хотел бы предоставить этой службе собственную запись авторизации LDAP, чтобы разделить права доступа. Но это не пользователь , это сервис .
Какой объектный класс используется для идентификации служб?
(и, будучи новичком в LDAP, как вы узнали, что groupOfUniqueNames используется для групп, inetOrgPerson используется для записей пользователей? Это кажется нормой.)
RFC 2256 / RFC 4519 рекомендует objectClass: applicationProcess
для такого рода вещей:
Определение объектного класса applicationProcess является основой запись, представляющая приложение, выполняющееся в компьютерной системе.
Соответствующие атрибуты: cn
(обязательно), см. Также
, ou
, l
] и описание
(необязательно).
Одно из преимуществ использования cn
вместо uid
для RDN состоит в том, что учетные записи служб не будут ошибочно сопоставлены в качестве учетных записей пользователей, если вы используете что-то вроде ldap_filter: (uid =% U)
в качестве поискового запроса пользователя.