Ist es in LDAP am besten, Gruppen unter Organisationseinheiten zu verschachteln oder eine Organisationseinheit direkt unter dem Stamm-dn nur für Gruppen zu erstellen?

7

Ich bin mir nicht sicher, ob es besser ist, Gruppen unter jeder meiner Organisationseinheiten zu verschachteln oder eine Organisationseinheit direkt unter dem Stamm-DN nur für Gruppen zu erstellen. Wird eine als Best Practice gegenüber der anderen angesehen? Ich möchte meine Konfiguration so vanille wie möglich halten, um die Kompatibilität mit LDAP-fähigen Anwendungen zu maximieren.

Meine unmittelbaren Bedürfnisse umfassen:

  1. SSO mit Atlassian Crowd
  2. Google Apps-Verzeichnissynchronisierung (LDAP-Gruppen -> Mailinglisten)
  3. pGina für Windows-Authentifizierung

Hier ist ein Diagramm, das die beiden Strategien zeigt, die ich in Betracht ziehe:

Geben Sie hier die Bildbeschreibung ein

ldap groups organizational-unit Jeff
quelle
2
Ich bin mir nicht sicher, was der "beste" Weg ist, aber ich bevorzuge Gruppen als untergeordnete Objekte ihrer jeweiligen Organisationen. Vereinfacht die Verwaltung von Filtererstellung und -delegierung erheblich.
Jscott
1
Mir ist keine bewährte Methode zwischen den beiden Methoden bekannt, aber ich stimme @jscott zu, dass Methode B einfacher zu verwalten und logischer ist. Ich glaube nicht, dass LDAP-fähige Apps sich darum kümmern, wo im Verzeichnis die Objekte gespeichert sind, solange sie wissen, wo / wie sie zu finden sind.
TheCleaner
Ich bin auf das Problem gestoßen, bei dem ein Anbieter behauptet, LDAP zu unterstützen, aber Sie können die objectClass nicht für Gruppen oder Benutzer und verschiedene andere Unsinnsangaben angeben. Ich wusste nicht, ob man dafür weniger anfällig war. Es ist so weit, dass ich möglicherweise einen Proxy benötige, um die Anforderungen neu zu schreiben.
Jeff

Antworten:

6

Gemäß den AD-Entwurfsrichtlinien sind beim Entwurf Ihrer Struktur zwei Dinge zu beachten: 1) Delegation der Verwaltungskontrolle und 2) Gruppenrichtlinien.

Da Gruppenrichtlinien nicht für Gruppen gelten, bleibt Ihnen im Grunde eine Delegation der administrativen Kontrolle übrig. Ihr Modell B bietet die Möglichkeit, an jeder Schule eine lokale Delegation von Verwaltungsaufgaben durchzuführen, die Sie möglicherweise implementieren werden. Deshalb hätte ich mich dafür entschieden.

Ich habe Beispiele für die weitere Aufteilung von Gruppen in separate Organisationseinheiten nach Gruppentyp gesehen, z. B. Anwendungsgruppe, Richtliniengruppe, Berechtigungsgruppe usw.

Trondh
quelle
Ich habe Gruppenrichtlinien. Ich mag die Idee, separate Organisationseinheiten für Anwendungs-, Richtlinien- und Berechtigungsgruppen zu haben. Dies wurde beantwortet, was für meinen Anwendungsfall am besten ist. Vielen Dank!
Jeff
1

Ich denke, es wäre am besten, alle Gruppen, die Mitglieder einer einzigen Schule enthalten, unter derselben Organisationseinheit zu halten und eine separate Organisationseinheit an der Wurzel für interSchool-Gruppen zu haben. Es wird auf lange Sicht bei der Verwaltung Ihrer AD helfen.

Karthikk Dhandapani
quelle
Karthikk, das habe ich letztendlich getan. Meine Argumentation stimmte mit Ihrer überein. Vielen Dank.
Jeff