Struttura LDAP: dc = esempio, dc = com vs o = Esempio

18

Sono relativamente nuovo a LDAP e ho visto due tipi di esempi su come impostare la tua struttura.

Un metodo è quello di avere la base: dc=example,dc=commentre altri esempi hanno la base o=Example. Continuando, puoi avere un gruppo simile a:

    dn: cn = team, ou = Group, dc = esempio, dc = com
    cn: team
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

... o usando lo stile "O":

    dn: cn = team, o = Esempio
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

Le mie domande sono:

  1. Ci sono delle migliori pratiche che dettano l'uso di un metodo rispetto all'altro?
  2. È solo una questione di preferenza quale stile usi?
  3. Ci sono dei vantaggi nell'usare l'uno rispetto all'altro?
  4. Un metodo è il vecchio stile e uno la versione nuova e migliorata?

Finora sono andato con lo dc=example,dc=comstile. Qualunque consiglio che la comunità possa dare sulla questione sarebbe molto apprezzato.

ldap  openldap 
Peter Sankauskas
fonte

Risposte:

26

Lo dcstile generalmente indica un albero LDAP basato su DNS di qualche tipo. Questo è lo stile utilizzato da Active Directory (AD). Se non ti interessano gli alberi LDAP basati su DNS, è possibile utilizzare bene anche altri tipi. EDirectory di Novell è un Oalbero basato. Alcuni avvertimenti:

  • Lo stile DC è ciò che utilizza AD. Molti prodotti di terze parti che supportano fonti AD LDAP come questo stile di albero sono molto meglio degli Oalberi basati. Ho avuto problemi a far parlare questi client con alberi LDAP in stile O.
  • AD non lo usa Oaffatto, quindi alcuni client / parser LDAP potrebbero non supportarlo di conseguenza. Lo stesso vale per L(posizione).
  • Se non esegui il rooting DNS dell'albero, lo stile DC è molto meno importante
  • Gli stili ibridi vanno bene. La tua radice LDAP è dc=example,dc=com, e usi un albero in stile O sotto quello. DN potrebbe benissimo essere,cn=bobs,ou=users,o=company,dc=example,dc=com

In generale, la tua necessità di essere compatibile con client LDAP di terze parti è ciò che dovrebbe guidare la tua struttura. Se ha bisogno di un dialetto, probabilmente dovrà apparire come active-directory il più possibile. Se sono client LDAP puri, in quanto supportano davvero l'intera specifica, la struttura non dovrebbe avere importanza.

Non conosco alcuno standard di struttura ad albero di LDAP, ma sono sicuro che altri lo faranno se ce ne sono.

sysadmin1138
fonte
1
+1 bella risposta. Cose chiarite anche per me.
John Gardeniers,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.