Portál AbcLinuxu, 10. května 2025 04:23
Ahoj,
chci se zeptat, zda jde pouzit LDAP pro rizeni pristupu k ruznym aplikacim. Chapu variantu, ze nakonfiguruju treba wiki vuci LDAPu a pak mam stejne prihlasovaci udaje jako v LDAPu, to je snadne. Ale co kdyz chci, aby jen vybrani uzivatele z LDAPu smeli chodit do wiki, treba jen z urcite LDAP skupiny? A do mantisu zase jina skupina uzivatelu. Jde pouzit LDAP timto zpusobem, aniz by musela byt aplikace nejak specialne naimplementovana?
Diky
Treba u dekiwiki jsem takove nejake volby objevil, i kdyz jim zatim moc nerozumim. Pokud jde o DN, mas na mysli, ze standardne by byly stromy treba employees, customers, partners a nejakym figlem by se zmergovaly do sjednoceneho stromu treba wikiusers? Mohli byste mi doporucit nejaky dokument o ldapu, ale spise intro nez bezne manualy, jak co nakonfigurovat. Neco jako concept guide.
A kdyz budu mit strom mantisusers, pak to bude znamenat, ze dva stejni uzivatele budou mit dva samostatne LDAP zaznamy, ktere nejsou synchronizovany? To dost komplikuje udrzbu, napriklad odejde zamestnanec, musim hledat, kde vsude jej mam smazat. Tim se ztraci vyhoda ldapu. Nebo jsem to blbe pochopil? Clanek prectu pozdeji, diky.
V celém ldap stromu by měl být jeden člověk pouze jednou, pokud má mít víc rolí v systému, tak se mu prostě přidělé v adresářovém serveru víc rolí. V aplikaci si potom podle těch rolí budeš jednotlivé uživatele vyhledávat...
Ukázka jak může vypadat takové vyhledávání - hledám aktivního uživatele, který má mailový účet a je aktivní: (&(objectClass=qmailUser)(employeeType=mail)(mail=%s)(description=active)) jednoduché, rychlé a funkční. Typů účtů mám víc, třeba pro ftp, web, administraci a podobně, uživatel existuje pouze jednou.
V LDAP stromu by mel byt clovek jen jednou, ale muze se vyskytovat na vice mistech(kontextech), V LDAPu jdou delat symlinky(aliasy).
OpenLDAP to umi - je to soucasti standartu. OpenLDAP se sepcializuje prave na implementaci ruznych proposed draftu okolo LDAP protokolu. Dulezity je aby to umel klient. Resolvovani aliasu provadi klientska knihovna a resolvovani probiha na strane klienta. OpenLDAP klient to umi, ale podle standartu musi aplikace rict klientske knihovne, ze resolvovani aliasu ma provadet.
OpenLDAP to umi - je to soucasti standartu.Po zkušenostech s OpenLDAP tuhle větu jako implikaci (<=) nevnímám.
Dulezity je aby to umel klient. Resolvovani aliasu provadi klientska knihovna a resolvovani probiha na strane klienta.A tady se pravděpodobně jedná i o jinou klientskou knihovnu (předpokládám, že alespoň v některých případech jde o Javu). Každopádně se tím dostáváme zpět k problému ze začátku, že to musí podporovat přímo ta která aplikace.
Aliasy jsou prima, když si člověk může hrát nebo nemá jinou možnost. Tohle je jednoduché, univerzální a ověřené řešení, které zvládne snad každá knihovna implementující ldap protokol 
ahoj
napr pomocou filtra kde si definujes nejaky priznak (ou, objectClass,...) a ldap ti vrati iba vyhovujuce zaznamy
mail atd. -- problém je, že většina aplikací používá ty samé údaje, takže pro odlišení by bylo nutné přidávat umělé atributy. A nebo si zavést vlastní atribut, který bude představovat příslušnost ke skupině (nebo použít nějaký už existující -- třeba member a třídu groupOfnames definovanou přímo v core.schema). Tahle varianta je asi nejlepší, pokud příslušnost ke skupině nepotřebuješ znát i na úrovni unixových systémových účtů.
Poslední možnost jsou klasické skupiny -- tam je problém v tom, že klasický posixAccount nemá uživatelské skupiny v sobě, ale je pro to zvláštní třída posixGroup, která obsahuje seznam členů. Takže příslušnost ke skupině nejde zjistit stejným dotazem, jako údaje o uživateli, ale je na to nutný druhý dotaz -- tudíž i podpora v aplikaci. Možná by to šlo řešit pomocí nějaké úpravy na straně serveru, která by ten dotaz provedla sama a přidala atribut do výsledků prvního dotazu.
Puvodne jsem uvazoval o memberOf, ale jsem prilisny zelenac abych to dokazal zakomponovat do filtru. Ani si nejsem jist, zda to jde.
(memberOf=cn=mojeskupina,ou=skupiny,o=atdatd)
Jsou jeste dve moznosti.
Pouzit extra vetev s aliasy.
Napriklad cn=jmeno,ou=Mail,ou=Auth,dc=company,dc=cz tridy alias s hodnotou aliasedObjectName uid=jmeno,ou=People,dc=company,dc=cz
A jeste se pouziva treba v apache autorizaci groupOfUniqueNames.
Pouzit extra vetev s aliasy. Napriklad cn=jmeno,ou=Mail,ou=Auth,dc=company,dc=cz tridy alias s hodnotou aliasedObjectName uid=jmeno,ou=People,dc=company,dc=czTo je ta moje první možnost. Jenže záleží na tom, zda aplikace nebo server umí s aliasy zacházet.
(nebo LDAP server sám vyřeší odkazy)odkaz = alias
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.