Я прихожу к LDAP в качестве возможного инструмента для управления серверами доступа и исходным кодом на работе, и хотя мне удалось понять основные понятия, такие как представление пользователей и машин как сущностей, которые создают атрибуты и определяют какие атрибуты должны применяться к сущности, основанной на применяемых к ним объектных классах, есть несколько ошибок, которые по-прежнему не имеют для меня никакого смысла, и я надеюсь, что кто-то может помочь объяснить, как они работают.
Как работают вложенные группы?
Я могу понять, что ou (организационная единица), и я могу понять, как помещать людей в них, и использовать класс groupOfNames для работы в качестве контейнера для членов, например, этот фрагмент LDIF из zytrax:
# create FIRST Level groups branch
dn: ou=groups,dc=example,dc=com
objectclass:organizationalunit
ou: groups
description: generic groups branch
# create the itpeople entry under groups
dn: cn=itpeople,ou=groups,dc=example,dc=com
objectclass: groupofnames
cn: itpeople
description: IT security group
member: cn=William Smith,ou=people,dc=example,dc=com
# create the hrpeople entry under groups
dn: cn=hrpeople,ou=groups,dc=example,dc=com
objectclass: groupofnames
cn: hrpeople
description: Human Resources group
member: cn=Robert Smith,ou=people,dc=example,dc=com
Как бы добавить дополнительные уровни вложенности?
То, что мне нужно, это что-то вроде этого псевдокода:
ou='Projects' /
description: This top level group has a few people in it that can create new groups, and control who in them
member: cn=Robert Smith,ou=people,dc=example,dc=com
-- somethingsomethingAbitrarilyNestedGroup='project-name'
member: cn=Robert Smith,ou=people,dc=example,dc=com
-- groupOfNames = 'project-name development'
member: cn=Robert Smith,ou=people,dc=example,dc=com
member: cn=Jane Doe,ou=people,dc=example,dc=com
member: cn=server1$,ou=servers,dc=example,dc=com
-- groupOfNames = 'project-name staging'
member: cn=Jane Doe,ou=people,dc=example,dc=com
member: cn=server2$,ou=servers,dc=example,dc=com
Учитывая эту иерархию, какой лучший способ предоставить доступ к этой группе сейчас?
Я не вижу простого способа выполнить произвольное группирование групп - среди обычных классов, доступных без использования дорогостоящего инструмента с закрытым исходным кодом, но похоже, что он не должен быть таким сложным.
Как это обычно делается с помощью такого инструмента, как OpenLDAP, чтобы другие клиенты ldap контролировали членство в группе, когда они аутентифицируются как пользователь с правильными правами?
