Как отметить бывших сотрудников на структуре LDAP?
Вы возможно могли поместить mysqlproxy промежуточный appserv и Ваши серверы приложений для добавления некоторой логики [предупреждение - это оказывает влияние производительности].
можно также использовать mysql репликацию - но тем не менее необходимо будет загрузить ее от полного резервного копирования.
PS.
видят, что другие предлагают, чтобы mysqlhotcopy. затем посмотрели на xtrabackup - тот же но открытый исходный код.
You could create a group and add them to that, but I think that moving them to a new OU is the best answer. Moving them to a separate OU performs your stated goal of 'dividing them into current employees and former employees'.
Additionally I would take these security precautions:
I would also take the precaution of changing their login shell to
/bin/falseNote that you should change the password and mark the account as disabled. You could delete the passwd hash or replace it with something you would later recognize such as LOCK
These steps will prevent former employees from being able to log in, or if they were to somehow guess the password, do anything useful.
In our Active Directory, we script this by disabling the account and moving it to a Terminated Employees OU. After 6mo in that OU they get deleted. It may be a lot of work to change each by hand, but that's what scripting is for.
Перемещение записи учетной записи за пределы базы поиска по умолчанию для учетных записей является хорошей практикой.
Если ваши пользовательские записи являются листьями или вы используете back_hdb в OpenLDAP , затем вы можете использовать команду ldapmodrdn или функцию ldap_rename () в API LDAP для их перемещения. Если это поддеревья, вам, возможно, придется рекурсивно скопировать поддерево, а затем рекурсивно удалить его.