今週から受けているLPI301の研修内容が丁度、次の仕事のLDAPなんだよね。

いろいろわかったことがあるんだけどとりあえず、LDAPはスキーマを定義（ユーザの個人情報（住所とか所属とか役職とか...免許とか）→属性をLDAPにどこまで持たせるか）することが面倒。

こういう属性の中で所属（いわゆるグループ）というのがあるけれど、これをLDAPで現実と同じように割り当てて管理するか、簡易的な割り当てにとどめるかを考慮しておかないとやっかいらしい。この所属等の属性管理を現実と同じようにすれば頻繁に異動で所属が変わるとLDAPで変更がかかるわけでメンテする人間が大変なことになるんだよね。

仕事で使うLDAPはOpenLDAPでやるらしいんだが、一体誰がそのLDAPのメンテ(スキーマとか所属とかの属性管理してユーザ情報の追加・更新・削除の管理)するとか一番コアな部分をないがしろにして仕事を強引すすめようとしていやがるところが悪意を感じる。今のところ自分しか居ないわけだけど、だから頭おかしいの馬鹿なの死ぬのってかんじるのさ。しかも締め切り11月頭？とかってあり得ない。って感じ。

炎上するのが目に見えてるな〜。

だからLDAPは自社ではメンテしないで、ただ単純にAPから連携させるだけって話だったのがどうも違うんだよなぁ......。どうやら１からOpenLDAP建てて自社WebAP用の連携用のスキーマを作ってで...ユーザの管理は誰がってやるってウチでやるらしい。そんなことを本気でやらせたいならもっとこういったLinuxとかLDAPの研修に人出させた方が良いと思うんだがな。

まあ、期限が決まっているので最低限やりたいことを整理してできるところまでやるってもんだろう。

やること

1. WebAPの認証はいままでのPostgreSQLのDB上にあるログインIDとパスワードで認証せずLDAP上のIDとパスワードで認証する
2. 将来的にはLDAPにWebAPで使用するユーザ属性を定義したスキーマを実装？とはいってもすべての属性をLDAPに持たせるのは無理もあるし、いろんな問題が出そうなのでどの属性をLDAPに持たせるかなど考える必要がある。
3. WebAPで管理していたユーザの追加・変更・削除はLDAPと連携させる(AP側でコントロールしてLDAPに反映)→それ用のI/Fとプログラムが必要

時間的に1しかやれそうにないよな。やっぱり。