我在Ubuntu上设置了一个OpenLDAP服务器,这样它将成为authentication的授权用户数据库。 我将要使用Atlassian Crowd,以便Google Apps可以使用针对Crowd的SSO。
为了进一步最大化在LDAP中的投资,我想使用Google的目录同步工具,以便IT可以pipe理LDAP详细信息,然后将同步工具上传到Google。 这也将确保如果用户使用Crowd来更改密码,GADS会将密码重新同步到Google,以便非SSO应用程序(如智能手机,POP等)继续工作。
我的问题源于如何最好地在OpenLDAP中定义一些对象。 人们似乎相当直接地定义为inetOrgPerson objectClass定义所有我想要的属性。
邮件组和联系人似乎更难以确定,因为我找不到符合条例草案的任何对象。 例如,groupOfUniqueNames没有邮件属性(用于定义电子邮件地址)。 我找不到任何看起来像联系人的东西。
GADS的文档build议该工具将寻找像“文字”的属性作为电子邮件地址。 关于什么可能用于联系人没有任何build议。
有关我如何继续的build议? 我确实希望将LDAP用于组而不是Google Apps,因为我也希望使用组成员资格来控制对SSH访问服务器,git存储库访问等资源的访问。
非常感谢。
事实certificate,Google的同步工具GADS对象objectClasses是非常灵活的。 事实上,没有必要担心这个级别的事情。 GADS允许你告诉它什么属性是指什么信息,你也可以定义searchfilter,以帮助它只是得到,比如说,用户或只是组。
所以我最终使用groupOfUniqueNames作为邮件列表组,并且添加了extensibleObject类来允许我定义像电子邮件地址这样的缺失属性。
如果它是openldap比你可以使用groupOfURIs,它允许空的列表,链接beetween人和组(dynlist覆盖允许你从它的目的地吸取一些其他属性,希望它有帮助man slapo-dynlist。