在$ company,我们目前有一个基于OpenLDAP的设置,它包含一些本地化的Whomemutated层次结构,以及一些存储在MySQL中的其他数据。
OpenLDAP服务器包含内部用户,客户联系人(可以访问部分内部工具,所以有一些用户/密码信息),与我们合作的自由职业者以及地址簿等数据。 MySQL DB包含一些来自同一用户的重复数据,以及一些补充信息,如关于客户公司的数据,依赖于公司和扩展到客户的项目等。
我的理想计划是把所有事情都整合成一个真理的源头。
FreeIPA对我们有趣的部分是:
作为文档状态,FreeIPA只关注于一个IdM,而不是一个通用的LDAP存储,但这意味着如果你想扩展你的关系信息(例如:对于这个项目,我们有这些内部用户,那些客户端),您必须在另一个工具(用户名/用户ID,FreeIPA中的用于授权的组,匹配项目或互补数据存储中的公司)中有一些重复。 这意味着两个商店的数据之间可能存在不连贯的状态,需要进行某种同步等。
因此,我想知道是否将FreeIPA扩展到存储公司或项目信息将是一个坏主意,如果是这样,为什么呢?
这不是一个坏主意,但是你需要做好计划。 FreeIPA主数据库之间复制数据,所以任何LDAP模式扩展最好用打包工具维护,以便它们存在于所有系统上。 同样适用于框架插件。
直到FreeIPA 4.4.1有一个外部提供的模式扩展的问题 – 它们没有包含在安装阶段,所以你不能从一开始就安装你的扩展,因为在升级代码执行代码缺less对象类/属性你的插件特定的ACI,你只能在以后添加它们。 有关更多详细信息,请参阅https://www.redhat.com/archives/freeipa-devel/2016-August/msg00083.html上的主题。
在FreeIPA 4.4.1中,我解决了这个问题(上面讨论的结果),现在你可以完全独立的扩展 – 请参阅我的FleetCommander集成插件中的示例https://github.com/abbra/freeipa-desktop-profile/ 。 我目前正在为FreeIPA 4.4.1或更高版本开发一个可扩展性指南,以取代旧的指南( https://abbra.fedorapeople.org/guide.html ),这个指南已经或多或less已经过时,并且不包括维护/分发问题以及访问控制devise。
只要您在FreeIPA 4.4.1或更高版本的独立设置中维护您的添加,您应该没问题。