Struktura LDAP: dc = przykład, dc = com vs o = Przykład

18

Jestem stosunkowo nowy w LDAP i widziałem dwa rodzaje przykładów konfiguracji twojej struktury.

Jedna metoda polega na tym, że podstawą jest: dc=example,dc=compodczas gdy inne przykłady mają tę podstawę o=Example. Kontynuując, możesz mieć grupę wyglądającą jak:

    dn: cn = zespół, ou = grupa, dc = przykład, dc = com
    cn: team
    objectClass: posixGroup
    memberUid: użytkownik1
    memberUid: użytkownik2

... lub używając stylu „O”:

    dn: cn = zespół, o = przykład
    objectClass: posixGroup
    memberUid: użytkownik1
    memberUid: użytkownik2

Moje pytania to:

  1. Czy są jakieś najlepsze praktyki, które nakazują stosowanie jednej metody w stosunku do drugiej?
  2. Czy to tylko kwestia preferencji, jakiego stylu używasz?
  3. Czy są jakieś zalety używania jednego nad drugim?
  4. Czy jedna metoda to stary styl, a jedna nowa i ulepszona wersja?

Do tej pory stosowałem dc=example,dc=comstyl. Każda rada, jaką społeczność mogłaby udzielić w tej sprawie, byłaby bardzo mile widziana.

ldap openldap Peter Sankauskas
źródło

Odpowiedzi:

26

dcStyl ogólnie wskazuje drzewa LDAP dns oparte jakiegoś rodzaju. Jest to styl używany przez usługę Active Directory (AD). Jeśli nie zależy Ci na drzewach LDAP opartych na dns, inne typy mogą być używane w porządku. EDirectory firmy Novell to Odrzewo oparte. Niektóre zastrzeżenia:

  • AD używa stylu DC. Wiele produktów innych firm, które obsługują źródła AD LDAP, znacznie lepiej niż Odrzewa oparte na tym stylu . Mam problemy z nakłonieniem tych klientów do rozmowy z drzewami LDAP w stylu O.
  • AD w ogóle nie używa O, więc niektórzy klienci / parsery LDAP mogą nie obsługiwać go. To samo dotyczy L(lokalizacji).
  • Jeśli nie rootujesz DNS za pomocą drzewa, styl DC jest znacznie mniej ważny
  • Style hybrydowe są w porządku. Twój katalog główny LDAP jest dc=example,dc=comi pod nim używasz drzewa w stylu O. DN mogą równie dobrze być,cn=bobs,ou=users,o=company,dc=example,dc=com

Ogólnie rzecz biorąc, twoja struktura powinna być zgodna z zewnętrznym klientem LDAP. Jeśli potrzebuje dialektu, prawdopodobnie będzie musiał wyglądać tak, jak to możliwe, w katalogu active. Jeśli są czystymi klientami LDAP, ponieważ naprawdę obsługują całą specyfikację, struktura nie powinna mieć znaczenia.

Nie znam żadnych standardów struktury drzewa LDAP, ale jestem pewien, że inni popełniają błędy, jeśli takie istnieją.

sysadmin1138
źródło
1
+1 Ładna odpowiedź. Dla mnie też wyjaśnione rzeczy.
John Gardeniers,