Ce type de groupe, à choisir dans la OpenLDAP pour le groupement des utilisateurs

J'ai besoin de savoir quel genre de groupe dois-je utiliser pour le regroupement des utilisateurs dans LDAP.

En gros, j'ai besoin de la fonction MemberOf, pour obtenir certaines autorisations en fonction des groupes d'appartenance.

Exemple:

  • Utilisateurs
    • Utilisateur 1
    • Utilisateur 2
    • L'utilisateur 3
  • Groupes
    • Groupe 1
    • Groupe 2

L'utilisateur 1 est membre du Groupe 1 et du Groupe 2.

Les groupes doivent être dynamiques, comme Active Directory.

Les questions vient du fait que j'ai ces pour choisir:

Samba: Group Mapping

User Group

Generic: Posix Group

Il en va de même pour les Utilisateurs, lequel dois-je choisir?

Generic: User Account

Samba: Account

Je ne peux pas trouver un bon site où les différences sont indiquées, tout lien devra être apprécié.

InformationsquelleAutor JorgeeFG | 2013-04-04
  1. 17

    LDAP/X. 500 définit seulement groupe d'objets qui ont attributs de membre, la relation inverse où un objet utilisateur dispose d'un memberof attribut dans OpenLDAP peut être réalisé avec la membre superposition. NDS/eDir et AD ce faire par magie. LDAP propre ne pas définir dynamique bi-directionnelle membre/groupe d'objets ou d'attributs. Liées à cette superposition est la refint de superposition qui permet de compléter l'illusion (et aborde également les légèrement irritant problème d'un groupe qui nécessitent toujours au moins un membre).

    Il y a généralement deux types de groupe à choisir, groupOfNames ou groupOfUniqueNames, le premier GroupOfNames est adapté pour la plupart des besoins. Ce dernier, groupOfUniqueNames, a un peu ésotérique fonction: il permet au membre DN pour contenir un numérique UID suffixe, afin de préserver l'unicité de membres à travers le temps devrait DNs être réaffectés à des entités différentes. Ni formulaire applique DNs unique dans la liste des membres.

    D'autres types de groupes ont des objectifs distincts (défini par le schéma et l'application). Une commune de moins de groupe de type d'objet est RFC 2256 rôles (organizationalRole type, avec roleOccupant attribut), c'est implicitement utilisé pour le contrôle d'accès par rôle, mais il est par ailleurs similaire à d'autres types de groupe (grâce à EJP pour l'astuce).

    La posixGroup type représente les classiques les groupes unix, identifié par un gidNUmber et inscription memberUid's. Il n'est pas d'un usage général, groupe d'objets dans le DIT, c'est à la demande (c'est à dire le client LDAP layer) de manière à mettre en œuvre/l'observer.

    Quand il s'agit de comptes d'utilisateur, l'objet de compte-types ne doivent pas être considérées comme exclusives, chaque type généralement ajoute des attributs à un objet utilisateur dans une manière compatible avec la (bien qu'un objectClass peut exclusive, si c'est structurels, ce n'est pas quelque chose que vous aurez souvent à vous soucier généralement).

    • Il est également organizationalRole.
    • Génial, merci! A ajouté que pour la réponse.
    • Merci, j'ai installé les deux, et il est encore en demandant un Membre sur groupOfNames. Ai-je fais quelque chose de mal? Je wil essayez d'utiliser posixGroup maintenant, je suis à l'aide de web phpldapadmin
    • posixGroup est de faciliter l'unix de groupes de style, il contient une liste de uides, tout comme /etc/group, je ne pense pas que cela va vous aider ici. Les deux les deux groupes que j'ai mentionnés doit ont au moins un membre. Sinon, si vous éprouvez des difficultés à obtenir la memberof superposition de poste de travail de votre config comme une nouvelle question.
    InformationsquelleAutor mr.spuratic