Loại nhóm để chọn trong OpenLDAP để nhóm người dùng

Question

Tôi cần phải biết tôi nên sử dụng loại nhóm nào để nhóm người dùng trong LDAP.

Tôi về cơ bản cần chức năng MemberOf, để nhận một số quyền dựa trên tư cách thành viên nhóm.

Ví dụ:

Người dùng - User 1 - User 2 - User 3 Groups - Nhóm 1 - Nhóm 2

User 1 là thành viên của Nhóm 1 và Nhóm 2.

Các nhóm cần phải năng động, như Active Directory.

Những câu hỏi đến vì tôi có những cho chọn:

Samba: Group Mapping

User Group

Generic: Posix Group

Cũng vậy với người dùng, cái nào tôi nên chọn cái nào?

Generic: User Account

Samba: Account

tôi không thể tìm thấy một trang web tốt, nơi sự khác biệt được thể hiện, bất kỳ liên kết sẽ được nhiều đánh giá cao.

Answer 1

LDAP/X.500 định nghĩa chỉ nhóm đối tượng có thành viên thuộc tính, mối quan hệ nghịch đảo nơi một đối tượng người dùng có một memberOf thuộc tính trong OpenLDAP có thể đạt được với memberof overlay. NDS/eDir và AD khiến điều này xảy ra bằng phép thuật. LDAP thích hợp không xác định các đối tượng/thuộc tính nhóm/hướng hai chiều động. Liên quan đến lớp phủ đó là lớp phủ refint giúp hoàn thành ảo tưởng (và cũng giải quyết vấn đề kích thích nhẹ của một nhóm luôn đòi hỏi ít nhất một thành viên).

Thường có hai loại nhóm thú vị để chọn, groupOfNames hoặc groupOfUniqueNames, kiểu đầu tiên GroupOfNames phù hợp cho hầu hết các mục đích. Cái sau, groupOfUniqueNames, có một tính năng hơi bí truyền: nó cho phép thành viên DN to contain a numeric UID suffix, để duy trì tính duy nhất của các thành viên theo thời gian nên DN được gán lại cho các thực thể khác nhau. Cả biểu mẫu đều không thực thi DN duy nhất trong danh sách thành viên.

Các loại nhóm khác có mục đích riêng biệt (được xác định bằng lược đồ và ứng dụng). Đối tượng loại nhóm ít phổ biến hơn là RFC 2256vai trò (organizationalRole loại, với thuộc tính roleOccupant), được sử dụng ngầm để kiểm soát truy cập dựa trên vai trò, nhưng cũng tương tự như các loại nhóm khác (nhờ EJP cho đầu).

Loại posixGroup đại diện cho các nhóm unix thông thường, được xác định bằng gidNUmber và liệt kê memberUid' s. Nó không phải là một đối tượng nhóm mục đích chung trong DIT, nó phụ thuộc vào ứng dụng (tức làlớp máy khách LDAP) để triển khai/quan sát nó.

Khi nói đến tài khoản người dùng, chiếm đối tượng loại không nên được coi là độc quyền, mỗi loại thường bổ sung thêm thuộc tính cho một đối tượng người dùng trong một cách tương thích (mặc dù một objectClassthể được độc quyền nếu nó cấu , đó không phải là điều bạn thường phải lo lắng về điều này).