Ciao Luca, grazie per la gentile risposta. Alla fine ho fatto proprio come dici tu: ho inserito ulteriori "container" come ou=users.
Devo migliorare e testare le regole ACL che mi sembrano un po' pasticciate ma per l'ambiente di Stage sono pronto. A presto! Simone On 9 Jul 2015 15:41, "Luca Scamoni | Gruppo PA" <luca.scam...@gruppopa.com> wrote: > Un DIT così piatto mi sembra un po' poco "scalabile" > > Ti consiglierei di differenziarlo maggiormente per esempio definendo dei > "container" per i vari oggetti tipo ou=users,dc=wiki,dc=com, > ou=apps,dc=wiki,dc=com, ecc. > > e mettere gli utenti nel "container" corretto (per esempio dn: mail=user1@ > wiki.com <http://wikitude.com/>,ou=users,dc=wiki,dc=com) > > Per il resto puoi usare una ACL come proponi > > > > > *Luca Scamoni* > > *Senior Consultant* > > Cell. +39 348 0471710 > > luca.scam...@gruppopa.com > > > *PA ABS Srl* > > via Ippolito Rosellini, 12 | 20124 Milano > > Tel. +39 02 83994170 | Fax +39 02 83994171 > > www.paabs.com <http://www.pa-abs.com> | www.gruppopa.com > > > > Il contenuto di questo messaggio di posta elettronica e ogni eventuale > documento a quest'ultimo allegato e' rivolto unicamente alle persone cui e' > indirizzato e può contenere informazioni la cui riservatezza e' tutelata. > Sono vietati la riproduzione e l’uso di questo messaggio in mancanza di > autorizzazione del destinatario. Se avete ricevuto questo messaggio di > posta elettronica per errore, vogliate cortesemente avvisarci > immediatamente per e-mail, telefono o fax. > > > This e-mail and any file transmitted with it is intended only for the > person or entity to which is addressed and may contain information that is > privileged, confidential or otherwise protected from disclosure. Copying, > dissemination or use of this e-mail or the information herein by anyone > other than the intended recipient is prohibited. If you have received this > e-mail by mistake, please notify us immediately by e-mail, telephone or fax. > > > > > ------------------------------ > *Da:* openldap-boun...@sys-net.it <openldap-boun...@sys-net.it> per conto > di Simone Taliercio <simonetalier...@gmail.com> > *Inviato:* domenica 7 giugno 2015 14.38 > *A:* openldap@mail.sys-net.it > *Oggetto:* [OpenLDAP] Definizione DIT e ACL: consiglio. > > Buongiorno a tutti, > > ho iniziato da poco a studiare il mondo LDAP e praticarlo tramite > openLDAP. > > Sono in fase di definizione di una DIT, ma devo ancora digerire tutti i > concetti. Sono sicuro che una progettazione errata dello "schema" adesso, > porterà enormi problemi più tardi. > > Come mi consigliereste di implementare il seguento scenario in DIT, e, > con ACL ? > > Abbiamo due aziende distinte: *wiki.com <http://wiki.com>* e * grape.jp > <http://grape.jp>* > > *wiki.com <http://wiki.com>* ospita fisicamente il sistema LDAP nel quale > vi sono registrati i propri utenti. > *grape.jp <http://grape.jp>* inserisce (di tanto in tano) un nuovo > utente nel sistema LDAP. > > L'obiettivo è: > > wiki.com può vedere e gestire tutti gli utenti, mentre grape.jp può > vedere solo gli utenti che lei stessa ha inserito nel tempo. > > Io pensavo di utilizzare un solo database "dn=wiki,dn=com" e richiedere > che un oggetto abbia il seguente schema: > > > dn: mail=us...@wiki.com <http://wikitude.com/>,dc=wiki,dc=com > objectclass: inetOrgPerson > cn: <user1 nickname> > givenname: <user1 first name> > mail: us...@wiki.com <test.fromcmdl...@wikitude.com> > sn: <user1 surname> > userPassword: aNiceEncryptedPassword > o:<wiki.com oppure grape.jp a seconda di chi inserisce l'utente> > > e poi potrei utilizzare una regola ACL basata sull'attributo "*o*" per > determinare chi vede cosa? > > > Lo schema ha questo aspetto perchè wiki.com deve integrare con LDAP un > simpatico giocattolo chiamato Liferay 6.1 -_- > > Vi ringrazio di cuore per l'ascolto e per aver creato questo canale! > > Simone > > > > >
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
