Hi!
Ich bin gerade dabei mir einen LDAP-Server aufzubauen. Ziel ist es dabei, dass ich die Benutzer meiner Anwendungen zentral anlegen und steuern kann. So möchte ich zum Beispiel für einen neuen Entwickler nicht jedesmal einen Zugang für SVN, Redmine, E-Mail und diverse htaccess-geschützte Verzeichnisse extra anlegen müssen, sondern einmal diesen Benutzer mit Passwort anlegen und dann festlegen, welche Dienste er nutzen kann und welche nicht.
Meine Frage dabei ist, wie baut man den LDAP-Baum am sinnvollsten auf. Sollte jeder Dienst ein eigenes Attribut sein oder für jeden Dienst eine Gruppe anlegen? Problem ist zum Beispiel auch Redmine, da gibt es weitere Gruppen. Ich habe mir folgenden Aufbau überlegt: einen Zweig mit den Benutzern und für die Dienste SVN, E-Mail und die Apache Verzeichnisse jeweils ein Attribut anlegen. Für Redmine gibt es einen weiteren Zweig mit den einzelnen Gruppen in Redmine.
Ist das so sinnvoll oder gibt es da bessere Lösungen?
Danke & viele Grüße
Martin
LDAP Aufbau
-
mragucci
- Beiträge: 598
- Registriert: 08.09.2004 03:21:24
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Endor
-
Kontaktdaten:
Re: LDAP Aufbau
Zu Deiner Idee mit Gruppen vs. Attribut: Einen Benutzer mehreren Gruppen zuzuweisen ist ein geringeres Problem als bei jeder neuen Applikation eine Schemaerweiterung vorzunehmen, wenn Du ein weiteres Attribut verwenden willst bzw. die Verwendung eines generischen Stringattributs die Applikation (bzw. deren Queryfilter) daran anzupassen. Auch wenn eine Deiner Applikationen spezielle Gruppen verwendet ist das ja kein Hindernis die Berechtigung über eine weitere Gruppe zu regeln, wenn der Queryfilter entsprechend passt...
Es gibt keine Aussage ala "mach es so und Dein LDAP ist perfekt". Ein LDAP Setup kann optimal für Deine Bedürfnisse sein, ein anderer kann mit diesem Aufbau dann aber so gar nichts anfangen! Es kommt immer darauf an welches Ziel verfolgt wird, wieviele Benutzer es gibt, woher sie stammen, worauf beim LDAP Aufbau Wert gelegt werden soll (Abbildung einer organisatorisch/hierarchischen Struktur, Abbildung der physikalischen Lokation der Benutzer, ...), oder aber wie Du diese Berechtigungen verwalten willst.
Frag 10 Leute nach einem ordentlichen LDAP Aufbau bekommst Du wahrscheinlich 12 unterschiedliche Antworten
Fazit: Wenn die von Dir erdachte Struktur Deinen Bedürfnissen entspricht, dann mach es so!
Es gibt keine Aussage ala "mach es so und Dein LDAP ist perfekt". Ein LDAP Setup kann optimal für Deine Bedürfnisse sein, ein anderer kann mit diesem Aufbau dann aber so gar nichts anfangen! Es kommt immer darauf an welches Ziel verfolgt wird, wieviele Benutzer es gibt, woher sie stammen, worauf beim LDAP Aufbau Wert gelegt werden soll (Abbildung einer organisatorisch/hierarchischen Struktur, Abbildung der physikalischen Lokation der Benutzer, ...), oder aber wie Du diese Berechtigungen verwalten willst.
Frag 10 Leute nach einem ordentlichen LDAP Aufbau bekommst Du wahrscheinlich 12 unterschiedliche Antworten
Fazit: Wenn die von Dir erdachte Struktur Deinen Bedürfnissen entspricht, dann mach es so!
Ich will im Schlaf sterben - Wie mein Opa...
Und nicht weinend und schreiend wie sein Beifahrer!
-----
https://www.whisperedshouts.de
Und nicht weinend und schreiend wie sein Beifahrer!
-----
https://www.whisperedshouts.de
Re: LDAP Aufbau
He he, genau das dachte ich mir schon wie ich das Thema erstellt habe. Ich selbst habe ja schon insgesamt drei verschiedene Möglichkeiten und irgendwie passt jedemragucci hat geschrieben:Frag 10 Leute nach einem ordentlichen LDAP Aufbau bekommst Du wahrscheinlich 12 unterschiedliche Antworten
Aber ich werde mich wohl für folgendes entscheiden:- Benutzer als ganz normale Accounts anlegen
- Für jeden Dienst wird eine Gruppe eingerichtet
- Benutzer werden durch Zuweisung in die verschiedenen Gruppen für den entsprechenden Dienst authorisiert
Ich denke, dass es so erstens am einfachsten zum Umsetzen ist sowie auch besten in die Struktur passt.
Danke dir
Viele Grüße
Martin