在 LDAP 服务器中设置多个域

答案取决于您想如何使用 LDAP 服务器。

• 如果您想要拥有三个完全独立的 LDAP 树，则需要在配置中配置多个cn=config具有olcDatabase对象类型的数据库。请注意，如果这样做，则需要为每个 LDAP 树设置单独的 LDAP 连接，并且根本无法搜索其他域中的对象。
• 如果您只是想要一个逻辑上的分离，例如，每个域都有单独的邮件帐户，那么您只需在树中的适当分支上添加一个连接点即可。类似于ou=example.com,cn=users,dc=example,dc=com和，ou=example.in,cn=users,dc=example,dc=com其中每个cn将容纳子域的用户。根据您的需要，您将有多个这样的连接点，其他选项可能是cn=groups,dc=example,dc=com或cn=sites,dc=example,dc=com。这样，您可以在中搜索用户并ou=example.com,cn=users,dc=example,dc=com仅找到该域的用户，也可以在中更全局地搜索cn=users,dc=example,dc=com并查找所有用户。
• 第三种方法是拥有多个子树，例如ou=example.com,dc=example,dc=com和ou=example.in,dc=example,dc=com，然后为实际对象设置子容器，例如cn=users,ou=example.com,dc=example,dc=com。请注意，虽然这种方法提供了更好的分离，但通常效率很低，因为如果您想在任何域中查找对象，现在必须搜索整个树。

举例来说：

• 变体 1：

  dc=example,dc=com
      cn=users
      cn=groups
  ------------------  Complete separation
  dc=example,dc=in
      cn=users
      cn=groups
  

• 变体 2

  dc=example,dc=com
      cn=users                <---- Junction point
          ou=example.com
              uid=alice
              uid=bob
          ou=example.in 
              uid=claire
      cn=groups               <---- Junction point
           ou=example.com
              cn=accounting
           ou=example.in
              cn=hr
  

• 变体 3

  dc=example,dc=com 
      ou=example.com
          cn=users
          cn=groups
      ou=example.in
          cn=users
          cn=groups