我对 LDAP 还比较陌生,并且见过两种如何设置结构的示例。
一种方法是将基数设为:dc=example,dc=com而其他示例将基数设为o=Example。继续下去,您可以得到一个如下所示的组:
dn:cn=团队,ou=组,dc=示例,dc=com
cn: 团队
对象类:posixGroup
会员ID:user1
会员ID: 用户2
... 或使用“O”样式:
dn:cn=team,o=示例
对象类:posixGroup
会员ID:user1
会员ID: 用户2
我的问题是:
- 是否存在最佳实践来规定使用一种方法而不是另一种方法?
- 使用哪种风格只是个人喜好问题吗?
- 使用其中一种比使用另一种有什么优势吗?
- 一种方法是旧式的,另一种方法是新改进的版本吗?
到目前为止,我已经采用了这种dc=example,dc=com风格。如果社区能就此事提供任何建议,我将不胜感激。
答案1
该dc样式通常表示某种基于 DNS 的 LDAP 树。这是 Active Directory (AD) 使用的样式。如果您不关心基于 DNS 的 LDAP 树,那么可以使用其他类型。Novell 的 eDirectory 是O基于 DNS 的树。一些注意事项:
- DC 样式是 AD 使用的样式。许多支持 AD LDAP 源的第三方产品都喜欢这种样式的树,而不是
O基于树的树。我在让这些客户端与 O 样式 LDAP 树对话时遇到了麻烦。 - AD 根本不使用,因此某些 LDAP 客户端/解析器可能不支持它。 (location)
O也是如此。L - 如果你没有对你的树进行 DNS 根植,那么 DC 样式就不那么重要了
- 混合样式就很好。您的 LDAP 根是
dc=example,dc=com,并且您在其下使用 O 样式树。DN 很可能是,cn=bobs,ou=users,o=company,dc=example,dc=com
一般来说,您需要兼容第三方 LDAP 客户端,这是驱动您结构的原因。如果它需要一种方言,它可能需要尽可能看起来像活动目录。如果它们是纯 LDAP 客户端,即它们确实支持整个规范,那么结构就不重要了。
我不知道任何 ldap 树结构标准,但我确信如果有的话其他人会提出来。