Welche Art von Gruppe in OpenLDAP zum Gruppieren von Benutzern zu wählen ist

Question

Ich muss wissen, welche Art von Gruppe ich für die Gruppierung von Benutzern in LDAP verwenden sollte.

Ich brauche im Grunde die Funktion MemberOf, um einige Berechtigungen basierend auf Gruppenmitgliedschaft zu erhalten.

Beispiel:

Benutzer - Benutzer 1 - Benutzer 2 - User 3 Gruppen - Gruppe 1 - Gruppe 2

Benutzer 1 ist Mitglied der Gruppe 1 und Gruppe 2.

Die Gruppen müssen dynamisch sein, wie Active Directory.

Die Fragen kommt, weil ich diese für wählen haben:

Samba: Group Mapping

User Group

Generic: Posix Group

Das gleiche gilt für Nutzer, die eine soll ich wählen?

Generic: User Account

Samba: Account

Ich kann nicht eine gute Website finden, wo die Unterschiede gezeigt werden, wird ein Link zu schätzen.

Answer 1

LDAP/X.500 definiert nur Gruppe Objekte, die Mitglied Attribute, die umgekehrte Beziehung, wo ein Benutzer-Objekt hat ein memberof Attribut in OpenLDAP kann mit den memberof overlay erreicht werden. NDS/eDir und AD machen dies durch Magie möglich. Das eigentliche LDAP definiert keine dynamischen bidirektionalen Member-/Gruppenobjekte/Attribute. In Verbindung mit dieser Überlagerung ist die refint Überlagerung, die hilft, die Illusion zu vervollständigen (und auch das schwach irritierende Problem einer Gruppe anspricht, die immer mindestens ein Mitglied benötigt).

Es gibt im Allgemeinen zwei interessante Gruppentypen zu wählen, groupOfNames oder groupOfUniqueNames, die erste GroupOfNames ist für die meisten Zwecke geeignet. Letzteres, groupOfUniqueNames, hat eine etwas esoterische Eigenschaft: Es erlaubt dem Mitglied DN to contain a numeric UID suffix, die Eindeutigkeit von Mitgliedern über die Zeit hinweg zu erhalten, sollten DNs verschiedenen Entitäten zugewiesen werden. Kein Formular erzwingt eindeutige DNs in der Mitgliederliste.

Andere Arten von Gruppen haben unterschiedliche Zwecke (definiert durch Schema und Anwendung). Ein weniger gebräuchliches gruppentypisches Objekt ist RFC 2256Rollen (organizationalRole Typ, mit roleOccupant Attribut), dies wird implizit für die rollenbasierte Zugriffssteuerung verwendet, ist aber ansonsten ähnlich den anderen Gruppentypen (dank EJP für den Tipp).

Der Typ posixGroup stellt die herkömmlichen Unix-Gruppen dar, die durch eine gidNUmber und eine Liste memberUid' s gekennzeichnet sind. Es ist kein allgemeines Gruppenobjekt im DIT, es liegt an der Anwendung (d. H.LDAP-Client-Schicht), um es zu implementieren/zu beobachten.

Wenn es um die Benutzerkonten kommt, Konto-Objekt-Typen sollen nicht als exklusive gedacht werden, jede Art fügt typischerweise Attribute zu einem Benutzerobjekt in einer kompatibelen Art und Weise (obwohl eine objectClasskann exklusiv sein, wenn es strukturelle ist , darüber musst du dir im Allgemeinen nicht oft Sorgen machen).