:strip_icc():strip_exif()/u/7268/force.jpg?f=community)
Mijn vraag
Ik gebruik OpenLDAP voor de authenticatie en autorisatie naar een applicatie waarin gegevens worden opgevraagd.
Het opvragen van gegeven wordt gelogd, dit is een vereiste. Om te kunnen herleiden welke persoon bepaalde gegevens heeft opgevraagd worden een aantal attributen uit ldap gelogd. Dit kunnen voornaam en achternaam zijn, de CN maar bijvoorbeeld ook de DN (hoewel dat een lange string kan worden) Nadeel van voor- en achternaam is dat deze kan wijzigen (bv trouwen). De persoon zou dan een nieuw account moeten krijgen ipv het account aan te passen. Dit heeft ook weer een aantal nadelen.
Relevante software en hardware die ik gebruik
RHEL7
OpenLDAP 2.4.45
Wat ik al gevonden of geprobeerd heb
De oplossing kan op verschillende manieren worden gemaakt, maar elke oplossing heeft natuurlijk voor en nadelen.
De DN meegeven in een url / token heeft als vereiste om de zaak te encrypten.Dit om te voorkomen dat er relatief simpel informatie over de ldap tree verkregen kan worden.
Er is een attribuut wat m.i. wel geschikt is, namelijk het entryUUID object, dit id wordt gegenereerd bij aanmaken van het object op bassi van o.a. een timestamp. Dit id kan ook niet aangepast worden via een ldap client. Deze UUID wordt met name gebruikt door de replicatie engine om de tree op de nodes in sync te houden.
Echter het gebruiken van deze UUID voor dit doel, daar kan ik nagenoeg geen enkele informatie over vinden. Het lijkt een uitermate geschikt id (vergelijkbaar met de SID in Windows AD denk ik ) maar bevestigde krijg ik het nergens.
Nu ben ik benieuwd of er onder de tweakers nog ervaringen en/of suggesties zijn.
Ik gebruik OpenLDAP voor de authenticatie en autorisatie naar een applicatie waarin gegevens worden opgevraagd.
Het opvragen van gegeven wordt gelogd, dit is een vereiste. Om te kunnen herleiden welke persoon bepaalde gegevens heeft opgevraagd worden een aantal attributen uit ldap gelogd. Dit kunnen voornaam en achternaam zijn, de CN maar bijvoorbeeld ook de DN (hoewel dat een lange string kan worden) Nadeel van voor- en achternaam is dat deze kan wijzigen (bv trouwen). De persoon zou dan een nieuw account moeten krijgen ipv het account aan te passen. Dit heeft ook weer een aantal nadelen.
Relevante software en hardware die ik gebruik
RHEL7
OpenLDAP 2.4.45
Wat ik al gevonden of geprobeerd heb
De oplossing kan op verschillende manieren worden gemaakt, maar elke oplossing heeft natuurlijk voor en nadelen.
De DN meegeven in een url / token heeft als vereiste om de zaak te encrypten.Dit om te voorkomen dat er relatief simpel informatie over de ldap tree verkregen kan worden.
Er is een attribuut wat m.i. wel geschikt is, namelijk het entryUUID object, dit id wordt gegenereerd bij aanmaken van het object op bassi van o.a. een timestamp. Dit id kan ook niet aangepast worden via een ldap client. Deze UUID wordt met name gebruikt door de replicatie engine om de tree op de nodes in sync te houden.
Echter het gebruiken van deze UUID voor dit doel, daar kan ik nagenoeg geen enkele informatie over vinden. Het lijkt een uitermate geschikt id (vergelijkbaar met de SID in Windows AD denk ik ) maar bevestigde krijg ik het nergens.
Nu ben ik benieuwd of er onder de tweakers nog ervaringen en/of suggesties zijn.
Donec eris felix, multos numerabis amicos