我正在设计 LDAP 结构,该结构基本上应该容纳用户和组。应该支持嵌套组(所以我考虑使用groupOfNames对象类)和我将使用的用户inetOrgPerson。不过还有一个额外的条件 - 有些组目前没有成员。
因此,我的研究表明,我可能会考虑groupOfEntries在我的 openLDAP 实例中将其用作对象类。它groupOfNames与除了成员属性是可选的(必须)之外的其他属性相同。我找不到任何官方文档说明如何处理可选成员资格使用标准LDAP 对象类。
我找到了 2008 年 IETF 的草案文件groupOfEntries,但无法收集更多信息。
我们是否应该使用这个对象类别,是否有官方决定?
它是否存在于可以导入 openLDAP 的任何可选模式中?
我主要考虑的是“支持程度如何”、“安全性如何”以及“使用这个对象类是否正式”?我想听听大家对此事的看法,如果能提出任何替代方案,我将不胜感激。感谢您的时间!
答案1
这芬德利草案创建的目的是提供一种分组机制,其中member属性是可以的(不是必须的),正如您所发现的。有些服务器有架构,有些没有。架构包含在草案中。不过,我认为自草案以来就没有活动了。
一些目录服务器产品附带支持,groupofEntries但并非全部。UnboundID 目录服务器和 OpenDS 可能groupofEntries以架构形式支持,但没有什么可以阻止管理员提供适当的架构元素。
至于这是否是个好主意:如果您需要它并且您的 LDAP 客户端需要它并且无法重新编码以支持 RFC(而不是休眠草案),或者如果数据模型需要它,那么管理员应该支持它。客户端、服务器和数据建模者应该遵守标准,但如果人们认为标准存在缺陷,那么替代方案可能会流行起来。
答案2
看一下organizationalRole和groupOfUniqueNames。