Dotaz: Návrh LDAP stromu

Zdravím! Řeším tento problém: na serveru potřebuju autentizovat uživatele a přidělovat jim podle toho přístup k různým službám: teď se jedná o SSH a RADIUS, časem přibude ještě SMTP + IMAP/POP. Všichni uživatelé s přístupem přes RADIUS budou mít k dispozici email, ale ne všichni z nich SSH a naopak budou i někteří uživatelé SSH bez přístupu k emailu a RADIUSu. Další věc je správa přístupu k adresářům - někteří uživatelé SSH budou mít účet jenom kvůli SFTP přístupu k VCS a bylo by proto záhodno, aby měli přístup omezený pouze na repozitář.

Googlil jsem okolo a zdá se, že hledám LDAP. V této oblasti jsem ale bez zkušeností a tak bych chtěl poradit, jak navrhnout adresář, aby splňoval výše uvedené požadavky.

PS: v emailových klientech je možnost použít LDAP server jako adresář kontaktů. Dá se do stromu taky nějak rozumně zabudovat?

Strukturu si můžeš zvolit libovolnou, tak jak ti to bude vyhovovat. Podle služeb nebo podle nějakého dělení uživatelů nebo čehokoliv jiného. LDAP je velice flexibilní.

Jen je vhodné, aby to mělo nějakou logiku. Např. aby se dohromady neukládaly účty uživatelů a kontakty. Jednak by ses v tom nevyznal, kdybys v tom něco hledal ručně a jednak by se ti i mohli uživatelé objevit v kontaktech atp.

Příslušným programům, které budou LDAP využívat pak musíš akorát zadat, v které části LDAP stromu mají údaje hledat. A je také vhodné nechat indexovat atributy, podle kterých si to ty programy hledají.

P.S. Nenech se zmást, že ve všech návodech tvrdí, že strom musí začínat doménovým jménem, takové to dc=example,dc=com. To je potřeba jen pokud se jedná o veřejný LDAP adresář kvůli unikátnosti. Pokud ho budeš využívat jen lokálně, tak tam můžeš dát cokoliv jiného, např. ou=mojefirma a budeš to mít kratší na vypisování