Un DIT così piatto mi sembra un po' poco "scalabile" Ti consiglierei di differenziarlo maggiormente per esempio definendo dei "container" per i vari oggetti tipo ou=users,dc=wiki,dc=com, ou=apps,dc=wiki,dc=com, ecc.
e mettere gli utenti nel "container" corretto (per esempio dn: mail=us...@wiki.com<http://wikitude.com/>,ou=users,dc=wiki,dc=com) Per il resto puoi usare una ACL come proponi Luca Scamoni Senior Consultant Cell. +39 348 0471710 luca.scam...@gruppopa.com<mailto:luca.scam...@gruppopa.com> PA ABS Srl via Ippolito Rosellini, 12 | 20124 Milano Tel. +39 02 83994170 | Fax +39 02 83994171 www.paabs.com<http://www.pa-abs.com> | www.gruppopa.com<http://www.gruppopa.com> Il contenuto di questo messaggio di posta elettronica e ogni eventuale documento a quest'ultimo allegato e' rivolto unicamente alle persone cui e' indirizzato e può contenere informazioni la cui riservatezza e' tutelata. Sono vietati la riproduzione e l'uso di questo messaggio in mancanza di autorizzazione del destinatario. Se avete ricevuto questo messaggio di posta elettronica per errore, vogliate cortesemente avvisarci immediatamente per e-mail, telefono o fax. This e-mail and any file transmitted with it is intended only for the person or entity to which is addressed and may contain information that is privileged, confidential or otherwise protected from disclosure. Copying, dissemination or use of this e-mail or the information herein by anyone other than the intended recipient is prohibited. If you have received this e-mail by mistake, please notify us immediately by e-mail, telephone or fax. ________________________________ Da: openldap-boun...@sys-net.it <openldap-boun...@sys-net.it> per conto di Simone Taliercio <simonetalier...@gmail.com> Inviato: domenica 7 giugno 2015 14.38 A: openldap@mail.sys-net.it Oggetto: [OpenLDAP] Definizione DIT e ACL: consiglio. Buongiorno a tutti, ho iniziato da poco a studiare il mondo LDAP e praticarlo tramite openLDAP. Sono in fase di definizione di una DIT, ma devo ancora digerire tutti i concetti. Sono sicuro che una progettazione errata dello "schema" adesso, porterà enormi problemi più tardi. Come mi consigliereste di implementare il seguento scenario in DIT, e, con ACL ? Abbiamo due aziende distinte: wiki.com<http://wiki.com> e grape.jp<http://grape.jp> wiki.com<http://wiki.com> ospita fisicamente il sistema LDAP nel quale vi sono registrati i propri utenti. grape.jp<http://grape.jp> inserisce (di tanto in tano) un nuovo utente nel sistema LDAP. L'obiettivo è: wiki.com<http://wiki.com> può vedere e gestire tutti gli utenti, mentre grape.jp<http://grape.jp> può vedere solo gli utenti che lei stessa ha inserito nel tempo. Io pensavo di utilizzare un solo database "dn=wiki,dn=com" e richiedere che un oggetto abbia il seguente schema: dn: mail=us...@wiki.com<http://wikitude.com/>,dc=wiki,dc=com objectclass: inetOrgPerson cn: <user1 nickname> givenname: <user1 first name> mail: us...@wiki.com<mailto:test.fromcmdl...@wikitude.com> sn: <user1 surname> userPassword: aNiceEncryptedPassword o:<wiki.com<http://wiki.com> oppure grape.jp<http://grape.jp> a seconda di chi inserisce l'utente> e poi potrei utilizzare una regola ACL basata sull'attributo "o" per determinare chi vede cosa? Lo schema ha questo aspetto perchè wiki.com<http://wiki.com> deve integrare con LDAP un simpatico giocattolo chiamato Liferay 6.1 -_- Vi ringrazio di cuore per l'ascolto e per aver creato questo canale! Simone
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
