FreeIPA + разные домены

0

1

Просмотрели всё что только можно, решение найти не можем в силу отсутствия опыта в стэке. Надеюсь на помощь гуру тут.

Задача - настроить лдап сервер (выбрали freeipa, как вариант), в котором будут работники (один домен) и внешние пользователи (множество разных доменов). Юзеры с разными доменами должны быть в одном ldap сервере.

Нужно это для интеграции с различными третьими продуктами (atlassian, gitlab, итд), чтобы там прорастали пользователи. Выбрали именно такой подход, потому что почти все продукты поддерживают провиженинг через лдап, что удобно.

На данный момент затык именно в том, как запихнуть туда внешних пользователей вместе с корпоративными. В этом и нужна помощь. Заранее благодарю.

Ссылка

←	storage solution for on-prem k8s.

Защита от смены пароля пользователя админом

→

Мнэээээ. Берете дефолтный инстанс 389ds и создаете там столько доменов, сколько хотите. Или создаете два, пять, сто инстансов. Или порождаете в дефолтном домене по OU (например) на каждый продукт. Или порождаете по OU на каждую изолированную пачку юзеров. Или указываете «домен» в каждом юзернейме, типа cn=vasya@contora123.ru.

Вольному воля, структуру каталога придумывайте сами, исходя из возможностей софта, который будет ходить в каталог. Пока что это не технический, а больше организационный вопрос.

thesis ★★★★★
(17.07.21 13:29:23 MSK)

Ответ на: комментарий от thesis 17.07.21 13:29:23 MSK

Спасибо за развернутый ответ, но кейс немного другой: У нас могут регистрироваться люди с разными провайдерами (например через свой linkedin, github аккаунт или просто на self-registered аккаунт сделать на любой имейл), соответственно мы не знаем заранее все домены, мы лишь группируем их по определенным атрибутам, которые с их доменами не связаны.

Если перефразировать вопрос - можем ли мы хранить в инстансе пользователей с разными доменами, которые мы не знаем заранее?

kromerx
(22.07.21 13:12:26 MSK) автор топика
Последнее исправление: kromerx 22.07.21 13:13:04 MSK (всего исправлений: 1)

Ответ на: комментарий от kromerx 22.07.21 13:12:26 MSK

Да всё вы можете. Вопросы в том, что именно вы называете доменом, известен ли заранее их полный список и в какой момент домен (чем бы он ни был) пользователя становится вам известен и нужен.

То есть, надо бы как-то понять, будет ли домен представлен как структурный элемент каталога, или же как атрибут пользователя. Или и то и другое в зависимости от чего-нибудь.

thesis ★★★★★
(22.07.21 14:27:24 MSK)
Последнее исправление: thesis 22.07.21 14:29:27 MSK (всего исправлений: 2)