Jaki rodzaj grupy do wyboru w OpenLDAP do grupowania użytkowników

Question

Potrzebuję wiedzieć, jakiego rodzaju grupy należy użyć do grupowania użytkowników w LDAP.

Zasadniczo potrzebuję funkcji MemberOf, aby uzyskać pewne uprawnienia na podstawie członkostwa w grupach.

przykład:

Użytkownicy - User 1 - Użytkownik 2 - User 3 grup - Grupa 1 - grupa 2

użytkownika 1 jest członkiem grupy 1 i 2.

Grupy muszą być dynamiczne, takie jak Active Directory.

pytania przychodzi bo mam je do wyboru:

Samba: Group Mapping

User Group

Generic: Posix Group

To samo dotyczy użytkowników, co należy wybrać?

Generic: User Account

Samba: Account

nie mogę znaleźć dobrego miejsca, gdzie różnice są pokazane, każdy link będzie mile widziane.

Answer 1

ldap/X.500 definiuje tylko grupy obiektów tego atrybutów elementów, odwrotna zależność, gdzie obiekt użytkownika ma memberOf atrybut OpenLDAP można osiągnąć z memberof overlay. NDS/eDir i AD robią to przez magię. Właściwość LDAP nie definiuje dynamicznych, dwukierunkowych obiektów/atrybutów grupy/grupy. Powiązany z tą nakładką jest nakładka refint, która pomaga ukończyć iluzję (a także rozwiązuje problem lekko irytujący grupy wymagającej co najmniej jednego członka).

Zwykle istnieją dwa interesujące typy grup do wybrania, groupOfNames lub groupOfUniqueNames, pierwszy GroupOfNames nadaje się do większości celów. Ten ostatni, groupOfUniqueNames, ma nieco ezoteryczną cechę: pozwala członkowi DN to contain a numeric UID suffix, zachować unikalność członków w czasie, gdy nazwy wyróżniające powinny być ponownie przypisane do różnych podmiotów. Żadna z form nie wymusza unikalnych nazw DN na liście członków.

Inne typy grup mają różne cele (określone przez schemat i zastosowanie). Mniej powszechnym obiektem typu grupowego jest RFC 2256() z atrybutem roleOccupant), który jest niejawnie używany do kontroli dostępu opartej na rolach, ale poza tym jest podobny do innych typów grup (dzięki EJP dla końcówki).

Typ posixGroup reprezentuje konwencjonalne grupy uniksowe, zidentyfikowane przez gidNUmber i listę memberUid'. Nie jest to obiekt grupy ogólnego przeznaczenia w DIT, tylko do aplikacji (tj.warstwa klienta LDAP) do wdrożenia/obserwacji.

Jeśli chodzi o kontach użytkowników, konto obiektowe typy nie powinny być traktowane jako wyłączny, każdy typ zazwyczaj dodaje atrybuty do obiektu użytkownika w kompatybilnym sposób (choć objectClassmoże być wyłącznym, czy to strukturalną , to nie jest coś, na co często musisz się martwić).