Moodle と統合するために、まったく新しい OpenLDAP サーバーの構造を計画しています。
次の構造を考えました。
同じユーザー 'uid=UserID002' を 1 つ以上のプロジェクトに割り当てることができることを確認してください。これにより、ソフトウェアと LDAP 間の同期が容易になります。
OpenLDAPを使用してそれを行うことは可能ですか? IBM LDAP で許可されていると聞きましたが、本当ですか? エントリへの「シンボリックリンク」はありますか?
一部のディレクトリ サーバーは、属性の一意性の概念をサポートし、uid の一意性のためのプラグインまで提供しています。ディレクトリ サーバー管理者に問い合わせて、ローカル ディレクトリ サービスが属性の一意性の概念をサポートしているかどうかを確認する必要があります。サポートしている場合は、属性に対して構成されている属性の一意性uidです。
命名属性の一意性に関する一般的な概念に関する限り、LDAP 標準のグループをサポートするプロ品質のディレクトリ サーバーによってサポートされるべきではないアイデアは何もありません。uidは単なる属性であり、あなたの例では、相対識別名コンポーネントになることを除いて、特別なことは何もありません。ディレクトリ サーバー内のエントリを識別するオブジェクトは識別名であり、uid他の属性と同様です。
RFC4512によると、LDAP はエイリアスの概念をサポートしていますが、その機能は使用しないでください。
これは LDAP エイリアスを使用して簡単に行うことができますが、これらの場合の一般的な考え方はorganizationalRole、プロジェクト ノードなどのスキーマを使用することです。各プロジェクトの下にサブコンテキストのフォレスト全体を作成するのではなく、役割を占めるエントリの DN であるorganizationalRole多値roleOccupant 属性があります。したがって、チェックしている DN として提供されている(roleOccupant={0})場所を、各プロジェクトまたはすべてのプロジェクトで検索するだけです。{0}
memberOfオーバーレイを使用するのが最善です。
オブジェクト クラス (既に存在する) を使用して、属性groupOfNamesを使用してプロジェクト エントリに属するメンバーを指定します。member必要な数の属性を追加できmemberます。各メンバー属性は (完全な) DN です。
個人的には、groupOfNames クラスを拡張する独自の objectClass (プロジェクトと呼ばれる) を作成して、プロジェクト関連の属性を追加できるようにします。ただし、どれだけ複雑にしたいかによって異なります。
次に、次のように構造を再定義します...
これにより、構造がよりきれいになり、プロジェクト アイテム (例: cn=ProjectName) がユーザー エントリから分離されます。プロジェクト アイテムは、OU=People クラス (例: member: uid=UserID001,OU=People,O=CompanyName) 内の人々へのメンバー属性を含む groupOfNames クラスになります。
Olap にインストールされたときに memberOf オーバーレイが行うことは、LDAPmember of検索結果に呼び出される追加の属性を追加します (動的に生成されます)。
これは非常に一般的なオーバーレイであり、AD サーバーでも使用されているため、この方法は一般的に使用されており、Moodle がそれらを理解することがわかるかもしれません。
セットアップをテストする際に注意すべき点....ldapsearchクエリはmemberofデフォルトでは属性を表示しないため、具体的に尋ねる必要があります。例えば;
ldapsearch -Y EXTERNAL -H ldapi:/// "(objectClass=groupOfNames)" uid, memberof
私が最初にそれらを使い始めたとき、それは私を困惑させました。検索で非表示の属性を強制的に表示する「すべて」オプションがあると思いますが、現時点ではそれが何であるかはわかりません。ldapsearch のmanページを調べてください。
とにかく、それが役立つことを願っています.. :)