Какой объектный класс Ldap можно использовать для хранения пользователя и его членства?

Я пытаюсь создать схему Ldap для наших пользователей и групп (используя ApacheDS, но это не имеет значения)

В настоящее время у меня есть что-то вроде этого

 (dc=company, dc=com)
   - ou : groups
      - GroupOfNames: cn=users
          -GON: cn subgroup A
              * member : uid = user1
      - GroupOfNames: cn=Admins
              * member : uid=admin

   - ou : users
       - InetOrgePerson uid="admin"
       - InetOrgePerson uid="user1"

Теперь проблема в том, что я пытаюсь подключить портал, чтобы использовать эту схему для аутентификации / членства в группах.

Портал хочет, чтобы «пользователь» «знал» группы, в которые он входит (что, вероятно, более эффективно).

Так что мне понадобится что-то вроде

- InetOrgePerson uid="admin"
    * memberOf : "cn=admin,cn=groups,cd=company,dc=com"

Но inetOrgPerson не позволяет использовать какой-либо атрибут memberOf .... поэтому мой вопрос:

Какой класс Ldap Object я могу использовать вместо inetOrgPerson, который разрешил бы атрибут memberof.


ldap directory apacheds
person Thibaut Colar    schedule 04.05.2011    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Что ж, сервер имеет значение. Поскольку нет стандарта для получения членства в группе в записи пользователей.

Я не знаю, поддерживает ли Apache DS атрибут memberOf. OpenDJ (opendj.org) или OpenDS, SunDSEE поддерживает его через атрибут isMemberOf (и может быть настроен для возврата любого имени).

IsMemberOf (или memberOf) является операционным атрибутом и, следовательно, должен быть явно запрошен в поисковом запросе.

person Ludovic Poitou    schedule 05.05.2011

arrow_upward
1
arrow_downward

inetOrgPerson. Атрибут memberOf не нужен. Просто выполните поиск атрибута GroupOfNames 'member'. Вот как это обычно делается.

person user207421    schedule 05.05.2011
comment
За исключением того, что портал этого не делает ... я предполагаю, что ожидаю поведения ctiveDirectory (memberOf attr автоматически сгенерировано), я думаю, мне придется немного изменить портал. - person Thibaut Colar; 05.05.2011
comment
@Thibaut Colar: Разве на портале нет выражений фильтров, которые вы можете определить самостоятельно? Или у него своя собственная схема LDAP? в этом случае используйте это ... - person user207421; 05.05.2011
comment
Вы можете изменить поисковый запрос фильтра ... однако он будет искать по атрибуту пользователей, поэтому, вероятно, это не сработает. Можно написать свой собственный поисковик для групп, так что я, вероятно, так и сделаю. jarvana.com/jarvana/view/org/jasig/portal/uportal-impl/3.2.4/ - person Thibaut Colar; 05.05.2011