usuarios una cuenta crear como comandos archivo administrar ldap openldap

una - openldap linux



Qué tipo de grupo elegir en OpenLDAP para agrupar usuarios (1)

LDAP / X.500 define solo los objetos de grupo que tienen atributos de miembro , la relación inversa donde un objeto de usuario tiene un miembro de atributo en OpenLDAP se puede lograr con el memberof superposición . NDS / eDir y AD hacen que esto suceda por arte de magia. LDAP propiamente dicho no define los atributos / objetos bidireccionales de miembro / grupo bidireccionales. Relacionado con esa superposición está la superposición de reflección que ayuda a completar la ilusión (y también aborda el problema levemente irritante de un grupo que siempre requiere al menos un miembro).

En general, hay dos tipos de grupos interesantes para elegir, groupOfNames o groupOfUniqueNames , el primero GroupOfNames es adecuado para la mayoría de los propósitos. El último, groupOfUniqueNames , tiene una característica ligeramente esotérica: permite que el miembro DN contenga un sufijo de UID numérico , para preservar la singularidad de los miembros a lo largo del tiempo, en caso de que los DN se reasignen a entidades diferentes. Ninguno de los formularios impone DN únicos en la lista de miembros.

Otros tipos de grupos tienen diferentes propósitos (definidos por el esquema y la aplicación). Un objeto de tipo de grupo menos común es RFC 2256 roles (tipo organizationalRole , con atributo roleOccupant ), esto se usa implícitamente para el control de acceso basado en roles, pero es similar a los otros tipos de grupos (gracias a EJP para la sugerencia).

El tipo de posixGroup representa los grupos de Unix convencionales, identificados por un gidNUmber y listado de memberUid'' s. No es un objeto de grupo de propósito general en el DIT, depende de la aplicación (es decir, la capa de cliente LDAP) implementarlo / observarlo.

Cuando se trata de cuentas de usuario, los tipos de objeto de cuenta no deben considerarse como exclusivos, cada tipo normalmente agrega atributos a un objeto de usuario de una manera compatible (aunque un objectClass puede ser exclusivo si es estructural , eso no es algo que a menudo tiene que preocuparse en general).

Necesito saber qué tipo de grupo debería usar para agrupar usuarios en LDAP.

Básicamente necesito la función MemberOf, para obtener algunos permisos basados ​​en la membresía de grupos.

Ejemplo:

Usuarios - Usuario 1 - Usuario 2 - Usuario 3 Grupos - Grupo 1 - Grupo 2

El usuario 1 es miembro del Grupo 1 y Grupo 2.

Los grupos deben ser dinámicos, como Active Directory.

Las preguntas vienen porque tengo esto para elegir:

Samba: Group Mapping

User Group

Generic: Posix Group

Lo mismo ocurre con los usuarios, ¿cuál debería elegir?

Generic: User Account

Samba: Account

No puedo encontrar un buen sitio donde se muestren las diferencias, cualquier enlace será muy apreciado.