Группы как пользователи в LDAP
Я рассмотрел бы сначала определение, какую группу (группы) Вы хотите поддерживать, рассматривая потребности тех групп, и затем определить, какие услуги Вы готовы предоставить... затем, можно волноваться об архитектуре.
...
Когда я работал на университет, наш гофер-сервер медленно рос для становления основным университетским веб-сервером - в конце, у нас была более чем тысяча учетных записей, потому что любой группе в университете просто был нужен сотрудник для заканчивания на нем. Это означало, что у нас были целые школы и отделы, но также и студенческие группы, любимые проекты преподавателя, и т.д. (о - и у нас не было инфраструктуры для идентификации, когда группы были более не существующими, или когда сотрудники изменились, и т.д., таким образом, у нас не было способа очистить старые учетные записи).
Если Вы действительно хотите это, я могу дать Вам дизайн, я предложил отвечать 'требованиям' что некоторый подрядчик, предложенный университету, и затем настоял, что он мог создать и после месяцев показа нас, ничто наконец не поставило нас серые аппаратные средства рынка с пустыми массивами хранения данных.
(Я главным образом горек, потому что мы были неделями далеко от развертывания двух машин кластер солнца для замены нашей стареющей инфраструктуры, и я реализовал довольно грязную систему для контакта с людьми, входящими в систему, используя их отдельные учетные данные LDAP для системы, но затем имеющий доступ к структуре каталогов группы для данных, в то время как Солярис не имел хороших условий для квот группы и даже должен был записать коннекторы для ColdFusion, который не заменил бы сервер CF, если бы это был действительно отказ веб-сервера),
В эти дни я, вероятно, пошел бы с большим количеством виртуализации - 7 лет назад, наш подрядчик настоял на том, чтобы бросать все на два кластера машины (две версии iPlanet веб-сервера, апача, chilisoft ASP, ColdFusion, PHP, Oracle, mysql и некоторые другие базы данных, и т.д., и т.д. [примечание, я первоначально создавал iPlanet + ColdFusion + Oracle, и это было этим]), я думаю, что моя предложенная замена была стойкой, полной 1U и 2U поля, но нет такого большого количества потребности в отдельном оборудовании в эти дни.
...
Так, причина этой истории (помимо вентиляции) - можно попытаться обеспечить все доступное под солнцем, неважно, если сообществу нужен он или нет, или можно сделать некоторый анализ требований и удовлетворить потребности большинства сообщества, не давая себе что-то, что это почти невозможно поддержать.
Насколько мне известно, не со стандартными методами LDAP. В любом случае это было бы совершенно неэффективно, поскольку LDAP должен был бы проверить пароль на любом члене группы 1, чтобы узнать, действителен ли он.
Теоретически это можно сделать, если вы напишете свою собственную систему аутентификации (например, новый плагин LDAP PAM с этой функцией), но это вызовет множество проблем, наиболее заметная из которых - одинаковые пароли между двумя пользователями. : Какое из них вы аутентифицируете?
Какая-либо конкретная причина, по которой вы хотели бы это сделать?
Итак, вы можете использовать групповую стратегию для каждой службы. Однако сложно применять отдельные группы к проектам внутри каждой службы без настройки для каждого. Например, вы можете определить отдельные группы для каждой службы, SSH, Build Machine, SVN и т. Д. Например, если вы хотите, чтобы пользователи только в группе управления версиями имели доступ к SVN, вы должны указать следующий URL-адрес в взаимодействующий виртуальный хост Apache:
<AuthnProviderAlias ldap ldap-users>
AuthLDAPUrl "ldaps://myldapserver:636/DC=mydomain,DC=local?sAMAccountName?sub?(&(objectCategory=person)(memberOf=CN=source-control,CN=Users,DC=mydomain,DC=local))" "SSL"
Однако вам придется перейти к уровню обслуживания, используя их известное управление. Возьмем, к примеру, SVN:
[groups]
project1_team = dave, john, andy
[/]
* =
dave = rw
[/project1]
@project1_team = rw
[/project2]
andy = r
Вам нужна авторизация прокси-сервера SASL ( документы OpenLDAP ). По сути, это su для OpenLDAP.
Однако он не будет работать с ssh-ключами, поскольку SASL их не понимает.