Правила формирования UniqueID
Добавлено:
08 июл 2008, 14:41 Walery
Есть достаточно много сторонних программ, которые умеют авторизоваться через LDAP, обычно для этого используется атрибут UniqueID, но он обычно при создании пользователя равен CN. При этом если в пределах OU уникальность CN проверяется, то в пределах дерева это естественно нет, как нет и проверки на уникальность UniqueID, что в случае разветвленного дерева вызывает проблемы.
Соответственно вопрос - нет ли у кого-то правил создания этого UniqueID, чтобы обеспечить его уникальность? На данный момент есть 2 варианта: копирование поля mail с заменой @ на . либо вырожденный DN, т.е. пользователь.OU....OU (без дерева) - естественно хотелось бы это автоматизировать, эти 2 варианта такую возможность обеспечивают
Добавлено:
08 июл 2008, 14:51 v13
Может в какой нибудь новой едиректори это сделано или планируется сделать ? Задать бы вопрос новеловскому саппорту про это дело.
Если конечно хочется красивого решения.
Re: Правила формирования UniqueID
Добавлено:
08 июл 2008, 15:10 Сергей Дубров
Walery писал(а):Соответственно вопрос - нет ли у кого-то правил создания этого UniqueID, чтобы обеспечить его уникальность?
Мы у себя в это поле заносим табельный номер сотрудника (==номеру пропуска), который стопроцентно уникален. Освободившиеся номера (н-р, после увольнения) гарантированно никогда не будут использованы повторно (прямо как SID-ы в венде
). Редкие исключения, типа пользователя с именем admin - можно и ручками отмодифицировать, их не так много
.
Re: Правила формирования UniqueID
Добавлено:
08 июл 2008, 15:31 Walery
Сергей Дубров писал(а):Мы у себя в это поле заносим табельный номер сотрудника (==номеру пропуска), который стопроцентно уникален
Если бы все было так просто - у нас корпорация, в которую входит много фирм, соответственно табельные номера уже не уникальные
Re: Правила формирования UniqueID
Добавлено:
08 июл 2008, 16:05 v13
Сергей Дубров писал(а):Walery писал(а):Соответственно вопрос - нет ли у кого-то правил создания этого UniqueID, чтобы обеспечить его уникальность?
Мы у себя в это поле заносим табельный номер сотрудника
Я пока делаю также
Но это неправильно, и я думаю возможно придётся переделывать хотя бы потому что при регистрации в linux используется uid.
Вообще прикольно на oes1 заходишь с настроенным LUM и в списке:
Admin,а дальше табельные номера
Добавлено:
09 июл 2008, 16:49 Andrey Karyagin
Валерий, автоматизировать процесс можно при помощи того или иного языка программирования или вообще без оного. Я, например, подобного рода вещи обычно делаю при помощи
www.openadaptor.org версии 1.7.2.x. Вычитываю данные из LDAP каталога и формирую LDIF файл желаемого вида, на который затем натравливаю утилиту ICE или LDAPMODIFY. Или вообще обхожусь одним OpenAdaptor, заворачивая обработанные данные обратно в LDAP. Некоторые примеры работы с OpenAdaptor были опубликованы здесь:
http://www.novell.com/coolsolutions/feature/17996.html
http://www.novell.com/coolsolutions/feature/17399.html
В Вашем случае можно генерировать uid из уже имеющихся атрибутов, например mail или First Name + Last Name, все зависит только от воображения.
Добавлено:
09 июл 2008, 18:15 Андрей Тр. aka RH
Насколько я понимаю, как засунуть данные в атрибут пользователя - это не вопрос, вопрос как раз в том, как формировать уникальные id .. ФИО вряд ли подходит ( при более-менее значительном количестве пользователей ), разве что использовать некий скрипт с логикой и предварительно проверять наличие такого ФИО, при необходимости добавлять цифру ( ФИО1 и т.д. ).
Подобное при желании можно наваять в IDM - чтобы при создании нового пользователя для него по определённому правилу формировалась uniqueid.
Хотя у себя на сервере Apple OSX для аутентификации юзеров через еДир я просто примапил атрибут cn из еДира в качестве uid в LDAP-источнике на Apple. cn у них по дереву вполне уникален, так что этого хватило.