Iniciando openLDAP

8

Trabajo como administrador de sistemas en una empresa y debo implementar openLDAP. He leído muchos materiales pero realmente no puedo entender por dónde empezar.

Primero sobre la compañía:

Servicios:

  1. Correo electrónico: cada usuario obtiene una cuenta de correo electrónico como [email protected] y un alias / reenviador de correo electrónico con el formato [email protected] o, a veces, [First-letter-of-name-name] lastname @ compant.com
  2. Jabber: cada usuario obtiene una cuenta jabber de formato [email protected]. En algunos casos esto se convierte en firstname.lastname si los nombres chocan.
  3. Trac y Redmine: cada uso obtiene cuentas para trac y redmine, que generalmente son su primer nombre.
  4. Un inicio de sesión de timetrex como firstname o first.lastname.
  5. Un inicio de sesión de máquina, nombre.
  6. Membresía a listas de correo como [email protected], [email protected], [email protected] y etc.
  7. Una cuenta de MediaWiki, nuevamente del mismo formato que el alias / reenviador de correo electrónico.
  8. Una cuenta ssh en uno de los servidores de implementación del mismo formato que el alias / reenviador de correo electrónico.

Lo que creo que debería hacer: debería usar inetOrgPerson y crear un esquema personalizado para nuestra organización. Lo que no estoy seguro es cómo puedo administrar tantos inicios de sesión diferentes y cómo respetará el software saber qué inicio de sesión utilizar. He escrito un esquema personalizado que puede almacenar la siguiente información:

  • Nombre completo
  • Teléfono
  • Célula
  • Habla a
  • Ciudad
  • País
  • Departamento
  • Unido a

¿Alguien me indicará la dirección correcta? He perdido mucho tiempo buscándolo, pero no pude encontrar nada ... Realmente aprecio que te hayas tomado el tiempo y leas la pregunta.

linux ubuntu debian ldap openldap Shoaibi
fuente
Considere reducir el número de nombres de usuario distintos para iniciar sesión. Por ejemplo, si tiene su propio servidor de correo, el inicio de sesión no necesita ser la dirección de correo electrónico. Permita que las personas tengan 1 nombre de usuario para los inicios de sesión y que todos los servicios busquen ldap para ese nombre de usuario y contraseña.
mivk

Respuestas:

10

Realmente no necesita crear un esquema personalizado para esto. Logramos 1-3 y 5-8 usando solo inetOrgPerson y posixAccount con un poco de esquema personalizado de Trac (descargado de la web) incluido.

Hay dos grandes problemas para aprender a implementar un directorio LDAP:

  • Por todas las apariencias, hay algo de magia secreta para determinar un buen diseño para el directorio.
  • No hay magia secreta para determinar un buen diseño para el directorio.

Mi consejo es comenzar de a poco, usar los esquemas existentes e integrar las cosas paso a paso. Es razonablemente fácil agregar información al directorio, o colocar nuevas objectClasses en la parte superior de las entidades. Solo se vuelve difícil cuando desea mover o eliminar información del directorio.

Use un esquema organizacional mayormente plano, o se volverá loco.

Buena suerte, prometo que es más fácil de lo que parece.

Paul Lathrop
fuente
1
+1 Evita esquemas personalizados si puedes, es probable que causen dolores de cabeza a alguien en el futuro.
theotherrecibido el
+1 para la respuesta y para los comentarios sobre cómo evitar esquemas personalizados.
asdmin
1
las membresías se manejan mejor con grupos, por lo general. Recomiendo encarecidamente pensar en un diseño de grupos básicos desde el principio.
Francesco Malvezzi