Как спроектировать «правильную» схему ldap, чтобы я мог выборочно проходить аутентификацию на определенных сервисах?

Question

Я играю с LDAP и пытаюсь настроить сервер ldap, который можно использовать для аутентификации пользователей по следующим сервисам:

• Вход в Linux (Ubuntu)
• ssh логин
• логин apache
• почта (postfix & курьер)
• Bugzilla
• вики
• ...

Я (думаю) я понимаю концепцию objectClasses и знаю, что установка следующих objectClasses для моих пользователей имеет смысл:

objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount

Но как мне работать с веб-приложениями? Скажем, я хочу, чтобы пользователь А мог войти в bugzilla, но он не должен иметь возможность войти в вики? Либо определенные пользователи должны иметь возможность локально войти в Ubuntu, но им не разрешен ssh с удаленного компьютера. Я решаю это с объектными классами или с членством в группе?

Любые советы и ссылки на рабочие примеры приветствуются!

Answer 1

Посмотрите на группы. Добавьте пользователя в соответствующую группу, если ему разрешено входить в систему. Многие инструменты могут быть настроены так, чтобы требовать членства в группе, чтобы разрешить доступ.

Если я правильно помню, группы могут иметь список участников или быть добавленными к отдельным лицам. Если у вас большие группы, я бы добавил данные о членстве в группах для отдельных лиц.