在 FreeIPA 中儲存除使用者資訊之外的任何其他內容是不是一個壞主意?
在 $company,我們目前有一個基於 OpenLDAP 的設置,其中包含一些本土的^Whomemutated 層次結構,以及儲存在 MySQL 中的一些其他數據。
OpenLDAP 伺服器包含內部使用者、客戶聯繫人(可以訪問我們的部分內部工具,因此有些工具有使用者/密碼資訊)、我們合作的自由職業者和地址簿等數據。MySQL DB 包含來自這些相同使用者的一些重複數據,以及一些補充資訊,例如有關客戶公司的數據、依賴於公司的項目以及對客戶的擴展等。
我的理想計劃是將所有內容整合到一個事實來源中。
FreeIPA 對我們來說有趣的部分是:
- 提供LDAP入口點,我們使用的所有內部服務都可以綁定到一個LDAP伺服器
- 提供 REST 入口點,將是我們內部開發的理想選擇。
- 易於集成,因為它基本上帶有管理授權所需的一切
- 不知何故標準(通過完全本土的反對)層次結構
正如文件所述,FreeIPA 的關注點很窄,它是一個 IdM,而不是一個通用的 LDAP 儲存,但這意味著如果你想擴展你的關係資訊(例如:對於這個項目,我們有那些內部使用者,還有那些客戶)您必須在另一個工具中有一些重複(使用者名/使用者 ID、FreeIPA 中用於授權的組、匹配項目或補充數據儲存中的公司)。這意味著兩個儲存中的數據之間可能存在不一致的狀態,需要某種同步等。
所以我想知道將 FreeIPA 擴展到儲存公司或項目資訊是否是一個壞主意,如果是,為什麼?
這不是一個壞主意,但是您需要做好計劃。FreeIPA 主機在此期間複製數據,因此任何 LDAP 模式擴展都最好使用打包工具進行維護,以便它們存在於所有系統上。同樣適用於框架外掛。
在 FreeIPA 4.4.1 之前,外部提供的架構擴展存在問題——它們沒有包含在安裝階段,因此由於升級程式碼執行生成時缺少對像類/屬性,您無法從一開始就安裝擴展您的外掛特定的 ACI,您只能在以後添加它們。有關詳細資訊,請參閱https://www.redhat.com/archives/freeipa-devel/2016-August/msg00083.html上的執行緒。
在 FreeIPA 4.4.1 中,我解決了這個問題(上述討論的結果),現在您可以擁有完全獨立的擴展 - 請參閱我的 FleetCommander 集成外掛中的範例,網址為https://github.com/abbra/freeipa-desktop-profile/ . 我目前正在為 FreeIPA 4.4.1 或更高版本編寫可擴展性指南,以替換我的舊指南(https://abbra.fedorapeople.org/guide.html),它或多或少已經過時並且不包括維護/分佈問題以及訪問控制設計。
只要您在 FreeIPA 4.4.1 或更高版本的獨立設置中維護您的添加,您應該沒問題。