我计划将OpenLDAP服务器的结构与多个应用程序集成(比如10个应用程序)。 在这里,我有8个内部应用程序(Web和移动应用程序),另外2个人说GitLab等外部服务。
我们的场景就像使用1000个用户的所有10个应用程序一样。 在1000个用户中,将有不同的角色,如管理员,经理,开发人员等。
所有1000个用户都有权登录应用程序(例如cn = application3,cn = application4,cn = application5,如图所示)。
对于cn = application1和cn = application2(它们是外部服务,如GitLab并在外部应用程序中包含单独的角色),只有少数用户有权访问/使用。
根据我们的要求,我们在cn = group1中插入了1000个用户。而且我们已经将少数用户转移到需要访问这些应用程序的cn = application1和cn = application2。 将来,我的组织规模将会增加,申请数量也会增加。目前我们正在继续如图所示的结构。这是最好的做法吗?
任何人都可以指导我如何解决这个问题?因为我是OpenLDAP的新手,如果我提到错误,请告诉我。
提前致谢!!!
答案 0 :(得分:0)
不要这样做。不要试图在DIT的组织中镜像您的组织,也不要将父子关系用于语义目的。使用不必更改的IT组织,并使用属性指示条目之间的语义关系。
您应该已经发现某些用户(例如您自己)需要在多个组中(例如,具有对DIT的管理员访问权限,能够使用所有应用程序Li,...)。 。所以你提出的建议已经无效了。
定义一个由用户,角色,组,可能是系统,...组成的树,并使用属性来控制用户所在的组。
使用organizationalRole
作为角色,groupOfUniqueNqmes
作为群组。