LDAP-Struktur: dc = Beispiel, dc = com vs o = Beispiel

18

Ich bin relativ neu in LDAP und habe zwei Arten von Beispielen für die Einrichtung Ihrer Struktur gesehen.

Eine Methode ist, die Basis zu haben: dc=example,dc=comwährend andere Beispiele die Basis haben o=Example. Wenn Sie fortfahren, können Sie eine Gruppe haben, die wie folgt aussieht:

    dn: cn = team, ou = gruppe, dc = beispiel, dc = com
    cn: team
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

... oder mit dem "O" -Stil:

    dn: cn = team, o = Beispiel
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

Meine Fragen sind:

  1. Gibt es Best Practices, die vorschreiben, dass eine Methode der anderen vorgezogen wird?
  2. Ist es nur eine Frage der Präferenz, welchen Stil Sie verwenden?
  3. Gibt es irgendwelche Vorteile, wenn man eins über das andere benutzt?
  4. Ist eine Methode der alte Stil und eine die neue und verbesserte Version?

Bisher bin ich mit dem dc=example,dc=comStil gegangen . Jeder Rat, den die Community in dieser Angelegenheit geben könnte, wäre sehr dankbar.

Peter Sankauskas
quelle

Antworten:

26

Der dcStil gibt im Allgemeinen eine Art DNS-basierten LDAP-Baum an. Dies ist der Stil, den Active Directory (AD) verwendet. Wenn Sie sich nicht für DNS-basierte LDAP-Bäume interessieren, können Sie auch andere Typen verwenden. Novells eDirectory ist ein Obasierter Baum. Einige Einschränkungen:

  • DC-Stil ist das, was AD verwendet. Viele Produkte von Drittanbietern, die AD LDAP-Quellen unterstützen, mögen diesen Baumstil viel besser als Obasierende Bäume. Ich hatte Probleme, diese Clients dazu zu bringen, mit LDAP-Bäumen im O-Stil zu kommunizieren.
  • AD wird überhaupt nicht verwendet O, daher unterstützen einige LDAP-Clients / Parser dies möglicherweise nicht. Gleiches gilt für L(Ort).
  • Wenn Sie Ihren Baum nicht mit DNS verwurzeln, ist der DC-Stil viel weniger wichtig
  • Hybridstile sind in Ordnung. Ihr LDAP-Stamm ist dc=example,dc=comund Sie verwenden einen O-Style-Baum darunter. DN könnte sehr gut sein,cn=bobs,ou=users,o=company,dc=example,dc=com

Im Allgemeinen sollte Ihre Struktur durch die Kompatibilität mit LDAP-Clients von Drittanbietern bestimmt werden. Wenn es einen Dialekt benötigt, muss es wahrscheinlich so aktiv wie möglich aussehen. Wenn es sich um reine LDAP-Clients handelt, die tatsächlich die gesamte Spezifikation unterstützen, sollte die Struktur keine Rolle spielen.

Ich kenne keine Standards für die LDAP-Baumstruktur, aber ich bin sicher, dass sich andere melden werden, wenn es welche gibt.

sysadmin1138
quelle
1
+1 Schöne Antwort. Klärte auch für mich.
John Gardeniers