我找到了大量关于在 Ubuntu 上安装 OpenLDAP 的资源/教程,并且我已经成功配置了我的服务器(启动并运行并成功验证)。我的问题与我应该如何设置架构有关,因为我似乎找不到任何有用的资源。我也开始认为我正在尝试让 LDAP 做更多的事情,如果是这样的话,请随时指出这一点。这是我的场景:
3 台服务器,每个服务器上都有各种支持 LDAP 的应用程序(主要基于 Web) 3-5 类用户(开发人员、实习生、客户、经理等),每类用户都需要访问所有应用程序的子集
我想做的是将每个用户分配给某个“角色”,然后将应用程序权限授予该角色而不是用户。这样,当我添加新用户时,我只需为他们分配一个角色,而不是访问单个应用程序。同样,如果我们添加一个新应用程序或决定一类用户应该有权访问某些现有应用程序,那么它只需要更新角色而不是每个用户。
这是我可以/应该用 LDAP 做的,还是我应该寻找一个替代品,比如 samba?
您应该能够使用常规组做您想做的事情。将所有用户放在 下
ou=People,然后将人员映射到下的组,ou=Group并教您的应用查看相关组的成员身份。我发现这篇文章很有用:LDAP 树设计。Womble 所说的您要将所有用户置于 ou=People 之下是检查的要点之一。
这绝对在 LDAP 的预期使用范围内。所有启用 LDAP 的应用程序都应使用基于组的访问控制。