Как в LDAP красиво всё разложить?

Логиниться по 12846 вместо фамилии по русски грустно

Блатные номера продаешь за денежку, профит

не придумывай велосипед, строй оргструктуру и в внутри неё помещай пользователей по отделам и группам. Так с политиками и доступами проще всего работать. По мере миграции отделов и подразделений мигрируй ou с отделами и пользователями. Оно именно так и задумывалось: «дай мне всех пользователей и все компьютеры департамента закупок» для такой схемы прям родное.

ящитаю надо разложить как в ADу, потому что мильен софта серьезно прибито гвоздями к его особенностям, ну а «от себя» поверх этой красоты уже можешь добавить и айдишники и что хош

У нас полно меняющих фамилию, у нас была трудная реструктуризация, хотелось бы упростить себе жизнь в будущем.

А если чему-то надо структуру как в AD, то пусть идёт лесом (хм), от мелкософта будем избавляться.

Оно именно так и задумывалось: «дай мне всех пользователей и все компьютеры департамента закупок» для такой схемы прям родное.

И кстати. Это ни разу не нормализовано. «Дай мне всех пользователей из People и компьютеры из Computers с атрибутом Department=Закупки» надо. А не «Дай мне Закупки и всё что там навалено».

Можно именовать юзеров по ролям в организации, типа otdel2buh1. Это удобно, если в отделе большая текучка кадров, или, например, одну роль выполняют два и более человека (магазин с компом, на котором посменно сидят три безликих продавца). Но это хорошо, пока тебе не потребовалось написать письмо конкретному васе или пете, или понять, кто из них тебе ответил, т.е. не всегда подходит.
По OU юзеров распихивать не следует не потому, что они переименовываются и перемещаются, а потому, что задолбаешься конфигурировать сервис, аутентифицирующий юзеров из пяти или десяти таких OU. Таким образом, внутри OU удобнее хранить группы, а не юзеров, а юзера могут быть свалены отдельно.
Я, для наглядности, делал для юзеров-людей OU people/active и people/inactive, во втором хранил всяких уволенных и временно забаненных.

У нас полно меняющих фамилию

и что какие проблемы были? у меня логинится юзер по uid

Есть возможность с нуля всё сделать

kerberos не забудь

Таким образом, внутри OU удобнее хранить группы

Почему весь мир не договориться об одинаковых терминах? Каждый сервис ска исправляет фатальный недостаток других и начинает с переименования. Группы это что имеется в виду? OU сам по себе не группа?

и что какие проблемы были? у меня логинится юзер по uid

Цифрами? В нашем концлагере уже бунд, не хотят цифрами. Хотят русскими фамилиями, да win1251.

kerberos не забудь

Обязательно. Вот только DNS и DHCP вкорячу. Долго это всё, не хочу копипастить, на каждую команду приходится читать, что, зачем и почему. Вот сказали, что пользователей надо кучей хранить и я уже тут прокрастинирую.

Цифрами?

цифры в uidNumber

я уже тут прокрастинирую

всё равно сделаешь не правильно, доверься профессионалам)

Под «группой» я имею в виду groupof[unique]names, список. А ou - это узел с детьми.

всё равно сделаешь не правильно, доверься профессионалам)

Я снэпшоты делаю для отката, контейнер на proxmox. ;P

Таки да, на каком этапе внедрять kerberos, в примерах зон он уже есть, но можно и без него. Видимо потом руками дописывать. Пойду читать.

на каком этапе внедрять kerberos

на этапе когда начнешь юзерам назначать пароли

Логиниться по 12846 вместо фамилии

Говорят, что можно логинится по должности. Не пробовал такой подход.

The two things we suggest you leave to the experts is DIT layout and Custom Schema Extensions

отсюда https://ldapwiki.com/wiki/Schema%20Extensions

как пользователей к отделам привязать

помню на одной работе отделы в логин кодировали типа 2201_чего_то_ещё (может фамилиё)

ну так со временем это всё разъехалось. Так что это один вариант, который я бы не стал делать.

помню на одной работе отделы в логин кодировали типа 2201_чего_то_ещё (может фамилиё) ну так со временем это всё разъехалось.

Нельзя привязываться к пользователям и пользователей привязывать к чему-либо. Тоже проблем огребаем. Неверная опорная точка. Нет бога кроме MAC адреса и ARP пророк его. Компы уже с MAC, пользователям вшить RFID-метки. И заживём.

ёлки-палки, вот же про псину сутулую, а я страницей ниже на DNS и не вижу https://wiki.debian.org/LDAP/OpenLDAPSetup#Kerberos

Почитав ваши комментарии складывается странное впечатление, что мышевозить в MS AD или freeipa, или ApacheDS это правильно, а углубиться и пытаться разобраться в LDAP - это неправильно и надо оставить это профессионалам.

мышевозить в MS AD или freeipa, или ApacheDS это правильно

Мышевозить, кстати, в apache directory studio действительно очень удобно.

пытаться разобраться в LDAP - это неправильно и надо оставить это профессионалам

Так ты теперь и есть профессионал.

«Профессионал» обделался прочитав «Note: if you plan to add principals to entries in subtrees other than cn=krbContainer,ou=kerberos,ou=Services,dc=example,dc=com, like ou=People,dc=example,dc=com, then the ACLs will need to be adapted to grant the appropriate permissions.»

Не думал, что юзеры хранятся в ветке цербера. У меня в планах было как раз People. А я уже olcAccess: {1}to dn.subtree=«cn=krbContainer,ou=kerberos,ou=Services,dc=example,dc=com» накопипастил. Добью установку до конца и буду исправлять как-то.

юзеры не хранятся в ветке кербероса, хранятся принципалы, а какой тебе принципал назначится при логине это через ssssd/pam_kerberos

Мда, лажа. Жаль нельзя втянуться постепенно, надо знать всё и потом уже спрашивать как это собрать вместе. Ладно, поменьше тупых вопросов, побольше читать и Кетова ещё две лекции досмотреть.