Struktur LDAP: dc = contoh, dc = com vs o = Contoh

18

Saya relatif baru di LDAP, dan telah melihat dua jenis contoh cara mengatur struktur Anda.

Salah satu metode adalah memiliki basis: dc=example,dc=comsedangkan contoh lain memiliki basis o=Example. Melanjutkan, Anda dapat memiliki grup yang tampak seperti:

    dn: cn = tim, ou = Grup, dc = contoh, dc = com
    cn: tim
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

... atau menggunakan gaya "O":

    dn: cn = tim, o = Contoh
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

Pertanyaan saya adalah:

  1. Adakah praktik terbaik yang mendikte menggunakan satu metode di atas yang lain?
  2. Apakah hanya masalah preferensi gaya yang Anda gunakan?
  3. Apakah ada keuntungan menggunakan satu di atas yang lain?
  4. Apakah satu metode gaya lama, dan satu versi baru dan lebih baik?

Sejauh ini, saya telah pergi dengan dc=example,dc=comgayanya. Nasihat apa pun yang dapat diberikan komunitas tentang masalah ini akan sangat dihargai.

Peter Sankauskas
sumber

Jawaban:

26

The dcgaya umumnya menunjukkan pohon LDAP berbasis dns dari beberapa jenis. Ini adalah gaya yang digunakan Active Directory (AD). Jika Anda tidak peduli tentang pohon LDAP berbasis dns, maka jenis lain dapat digunakan dengan baik. Novell's eDirectory adalah Opohon berbasis. Beberapa peringatan:

  • Gaya DC adalah apa yang digunakan AD. Banyak produk pihak ke-3 yang mendukung sumber LDAP AD seperti gaya pohon ini jauh lebih baik daripada Opohon berbasis. Saya kesulitan membuat klien ini berbicara dengan pohon LDAP O-style.
  • AD tidak digunakan Osama sekali, sehingga beberapa klien / parser LDAP mungkin tidak mendukungnya. Hal yang sama berlaku untuk L(lokasi).
  • Jika Anda tidak melakukan rooting DNS pada pohon Anda, gaya DC jauh lebih tidak penting
  • Gaya hybrid baik-baik saja. Root LDAP Anda adalah dc=example,dc=com, dan Anda menggunakan pohon gaya-O di bawah itu. DN sangat mungkin,cn=bobs,ou=users,o=company,dc=example,dc=com

Secara umum, kebutuhan Anda agar kompatibel dengan klien LDAP pihak ke-3 adalah yang seharusnya mendorong struktur Anda. Jika perlu dialek, mungkin perlu terlihat direktori aktif seperti mungkin. Jika mereka adalah klien LDAP murni, dalam arti mereka benar-benar mendukung keseluruhan spesifikasi, maka struktur seharusnya tidak masalah.

Saya tidak tahu tentang standar struktur pohon ldap, tapi saya yakin yang lain akan memasang pipa jika ada.

sysadmin1138
sumber
1
+1 Jawaban yang bagus. Klarifikasi hal untuk saya juga.
John Gardeniers