我遇到了一个奇怪的 LDAP 配置。一些管理员刚刚在 OpenLDAP 中将用户创建为 OU。为此,管理员更改了 OU 中的某些属性,如 posixAccount、inetOrgPerson、organizationalPerson 和 person。我的问题是这样做有什么好处?它有效,但我想知道它的缺点。
答案1
将用户创建为容器对象(假设这确实发生了,而不是将命名属性从 cn= 更改为 ou=,这基本上不是一个事件)确实有一些有趣的优势。
有一个 PBX 系统(我认为是 Nortel,但我现在不记得了),当它使用 LDAP 存储用户和电话信息时,它将用户创建为容器对象。
这会破坏各种事情,但好处是用户对象可以包含配置对象。这允许使用与通常处理方式不同的逻辑分组。
它允许您将配置存储为对象,而不必添加配置属性,或将组成员资格等效分配给某个配置对象。
我认为 Citrix 也有一种方法可以做到这一点,即存储一些个性化设置。
答案2
首先,OU(组织单位)没有用于过期密码/帐户等的 shadowAccount 对象类。
而使用常规帐户,您可以获得与每个对象类相关的所有属性:person、organizationalPerson、inetOrgPerson、posixAccount、shadowAccount
这些定义在:/etc/openldap/schema/
您能否进一步描述一下您的环境?
答案3
在一般情况下,您可以根据需要修改架构。可以是 ou=john、user=john、unicorn=john 等;但这违反惯例。我想说管理员没有帮到任何人。