Динамические списки

LDAP
Overlay dynlist в OpenLDAP — это одна из (нескольких сотен) вещей, которые делают сомнительным преимущество Active Directory над OpenLDAP.
Как это работает: смотри www.openldap.org

Это работает? Да, я проверял!

Что это нам даёт?
— Группы формируются по независимым признакам, а это значит, что мы не обязаны явно указывать членам группы, что мы их хотели бы видеть ТАМ
— Да и в самой группе тем более никого прописывать не нужно — список участников формируется динамически
— Соответственно, для того, чтобы член группы перестал принадлежать группе, не требуется никаких телодвижений: достаточно, чтобы он перестал удовлетворять критериям отбора (поиска) членов группы или, например, попросту был удалён

К чему бы это прикрутить?
1) Плохая новость: это не прикрутишь по человечески к posixGroup'ам — и только лишь потому, что существует gidNumber и нам его нужно заполнить для первичной группы пользователя! Проще говоря, в аккаунте пользователя мы обязаны явно прописать его принадлежность группе, что уже отрицает все преимущества DynList'ов. Спасибо за это PADL.com'у…
Казалось бы, ведь логично предположить, что для юзеров внутри контейнера — группы — эта группа является первичной. Очевидно — но не для PADL.com, которые всё ещё заставляют нас скурпулёзно переписывать всякую архаичную ахинею из passwd в LDAP-каталог прямо-таки «AS IS»
2) Хорошая новость: подписчики mail-списков рассылки, участники проектов и назначенные на таски в многочисленных Collaboration Suite'ах, члены доменов и многие-мнгоие другие — добавятся в свои группы автоматически, достаточно лишь косвенным образом соответствовать критериям участия в событии/проекте/списке рассылки!

HOWTO на означенную тему (аглицкая мова): www.whitemiceconsulting.com
Файл схемы dyngroup.ldif можно взять здесь: www.openldap.org
Особо пристальное внимание следует обратить на следующий момент (цитирую OLAG):
So, if you are planning in using this for posixGroups, be sure to use RFC2307bis and some attribute which can hold distinguished names. The memberUid attribute used in the posixGroup object class can hold only names, not DNs, and is therefore not suitable for dynamic groups.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.