LDAP: записи для сервисов?
Можно загрузить Проявление для установщика Windows в:
http://download.gnome.org/binaries/win32/evince/2.30/evince-2.30.0.msi
Какой объектный класс используется для идентификации служб?
Все, что вы хотите, правда. Чтобы Crowd (или что-то еще)
аутентифицироваться, вам нужно отличительное имя где-нибудь в вашем дереве и
он должен иметь атрибут userPassword .
Если вы посмотрите на свою схему (если вы используете OpenLDAP, это обычно
/ etc / openldap / schema ), вы можете найти объектные классы, которые соответствуют этому
критерии.
Самым простым, вероятно, является объектный класс person , определение для
который выглядит так:
objectclass ( 2.5.6.6 NAME 'person'
DESC 'RFC2256: a person'
SUP top STRUCTURAL
MUST ( sn $ cn )
MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
Это означает, что для него требуются атрибуты sn и cn , и может
необязательно иметь атрибут userPassword (а также несколько других).
Так что, возможно, вы бы добавили такую запись:
dn: cn=crowd,ou=serviceAccounts, o=myOrganization
objectClass: person
cn: crowd
sn: Service Account
description: Service account for Crowd access to LDAP
userPassword: {SSHA}MZO/eoDUg/nFJDAZBvawCRYIxSeQUm3U
Предполагается, что у вас есть serviceAccounts OU, где вы будете
разместить такие вещи, что, вероятно, будет хорошей идеей (потому что это
четко отделяет учетные записи служб от учетных записей пользователей).
Crowd будет аутентифицироваться как
cn = толпа, ou = serviceAccountrs, o = myOrganization , и вам потребуется
настройте свой каталог LDAP, чтобы дать этому DN соответствующий доступ
разрешения.
I use object classes account (structural) and simpleSecurityObject (auxiliary) for service accounts. This way the service account has a uid and a userPassword, both of which are good to have when doing authentication and authorization.
dn: uid=kerberos,ou=services,dc=example,dc=com
objectClass: account
objectClass: simpleSecurityObject
objectClass: top
uid: kerberos
userPassword: {SSHA}xxxxxxxxxx