Question

我对LDAP很陌生，我有一个问题，我应该如何设计LDAP组（子组？）以进行集中式用户管理，例如使用JIRA，Jenkins和其他应用程序。

我在debian上运行了一个开放的ldap设置jira和jenkins授权基于像这样的开发人员组这样的组：

cn=developers,ou=groups,dc=example,dc=com
dn: cn=developers,ou=groups,dc=example,dc=com
cn: developers
member: cn=John Doe,ou=people,dc=example,dc=com
objectclass: groupOfNames

我的问题是在这种情况下LDAP设置的最佳实践。想法和问题：

我应该继续使用开发人员组并管理所有人基于此的jira等个别应用程序内的授权组。所以删除jira中的jira-developers并与开发人员合作基。
我应该为每个应用程序创建单独的组，例如（jira-developers-group）只是在LDAP中单独维护每个应用程序？
我应该尝试设置子组（从属？）结构，因此开发人员的每个成员都自动成为jira-developers，jenkins-developers等的成员？

我已经阅读了http://www.zytrax.com/books/ldap/很大一部分并认为它有用，但我仍然不确定最好/最常用的方法是什么。组织不是很大，但我想成为未来的证据。任何帮助都会很棒。

Answer 1

我们为每项服务使用一个组。因此，一个或多个用户群应该使用jira和jenkins的不同组，等等。这样，您可以在一个中心位置更改组成员身份，而无需在每个系统中添加用户。

由于大多数系统只检查组成员身份而不是是否有共同的超级组我只是使用简单组。

要查看哪些组适用于我们在组名中使用系统名称的系统。因此，所有与jira相关的小组都以＆＃39; jira _＆＃39;开头，所有与jenkins相关的小组都以＆janskins _＆＃39;开头。然后就是＆＃39; jira_developers＆＃39;和＆＃39; jira_qanda＆＃39;和＆＃39; jira_admins＆＃39;和＆＃39; jenkins_admins＆＃39;和＆＃39; jenkins_project_a＆＃39;和＆＃39; jenkins_project_b＆＃39;等等。

但可能会有不同的看法。

如何设计LDAP组以访问应用程序？

1 个答案: