Démarrer openLDAP

8

Je travaille en tant qu'administrateur système dans une entreprise et je dois déployer openLDAP. J'ai lu beaucoup de documents mais je ne sais vraiment pas par où commencer.

Tout d'abord sur l'entreprise:

Prestations de service:

  1. E-mail: chaque utilisateur obtient un compte de messagerie tel que prénom.nomdenom.un autrenom.nom@entreprise.com et un alias / redirecteur d'e-mail du format prénom@entreprise.com ou parfois [Première lettre du prénom] nom de famille @ compant.com
  2. Jabber: chaque utilisateur obtient un compte jabber de format prénom@jabber.company.com. Dans certains cas, cela devient firstname.lastname si les noms entrent en collision.
  3. Trac et Redmine: Chaque utilisation obtient des comptes pour Trac et Redmine qui sont généralement son prénom.
  4. Une connexion horaires en tant que prénom ou prénom.nom.
  5. Un identifiant de machine, prénom.
  6. Adhésion à des listes de diffusion telles que all@company.com, management@company.com, accounts@company.com et etc.
  7. Un compte MediaWiki, toujours du même format que l'alias / le redirecteur de l'e-mail.
  8. Un compte ssh sur l'un des serveurs de déploiement du même format que l'alias / redirecteur de messagerie.

Ce que je pense que je devrais faire: je devrais utiliser inetOrgPerson et créer un schéma personnalisé pour notre organisation. Ce que je ne sais pas, c'est comment puis-je gérer autant de connexions différentes et comment respecter le logiciel, savoir quelle connexion utiliser. J'ai écrit un schéma personnalisé qui peut stocker les informations suivantes:

  • Nom complet
  • Téléphone
  • Cellule
  • Adresse
  • Ville
  • Pays
  • département
  • Rejoint le

Quelqu'un me dirigera-t-il dans la bonne direction? j'ai perdu beaucoup de temps à chercher dessus mais je n'ai pas pu trouver quoi que ce soit ... J'apprécie vraiment que vous ayez pris du temps et lu la question.

linux  ubuntu  debian  ldap  openldap 
Shoaibi
source
Pensez à réduire le nombre de noms d'utilisateurs distincts pour la connexion. Par exemple, si vous avez votre propre serveur de messagerie, la connexion n'a pas besoin d'être l'adresse e-mail. Laissez les gens avoir 1 nom d'utilisateur pour les connexions et demandez à tous les services de rechercher LDAP pour ce nom d'utilisateur et ce mot de passe.
mivk

Réponses:

10

Vous n'avez vraiment pas besoin de créer un schéma personnalisé pour cela. Nous avons accompli 1-3 et 5-8 en utilisant simplement inetOrgPerson et posixAccount avec un peu de schéma personnalisé Trac (téléchargé depuis le Web) ajouté.

Il y a deux gros problèmes à apprendre à déployer un annuaire LDAP:

  • Selon toutes les apparences, il existe une magie secrète pour déterminer une bonne mise en page pour le répertoire.
  • Il n'y a pas de magie secrète pour déterminer une bonne mise en page pour le répertoire.

Mon conseil est de commencer petit, d'utiliser les schémas existants et d'intégrer les choses une étape à la fois. Il est relativement facile d'ajouter des informations au répertoire ou de superposer de nouvelles objectClasses au-dessus d'entités. Cela ne devient difficile que lorsque vous souhaitez déplacer ou supprimer des informations du répertoire.

Utilisez également un schéma organisationnel plutôt plat, sinon vous deviendrez fou.

Bonne chance, je vous promets que c'est plus facile qu'il n'y paraît.

Paul Lathrop
source
1
+1 Évitez les schémas personnalisés si vous le pouvez, ils sont susceptibles de causer des maux de tête à quelqu'un à l'avenir.
theotherreceive
+1 pour la réponse et pour les commentaires sur la façon d' éviter les schémas personnalisés.
asdmin
1
les adhésions sont mieux gérées avec les groupes, généralement. Je recommande fortement de penser à une disposition des groupes barebone dès le début.
Francesco Malvezzi
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.