Estrutura LDAP: dc = exemplo, dc = com vs o = Exemplo

18

Sou relativamente novo no LDAP e vi dois tipos de exemplos de como configurar sua estrutura.

Um método é ter a base sendo: dc=example,dc=com , enquanto outros exemplos têm a base sendo o=Example . Continuando, você pode ter um grupo parecido com:

    dn: cn=team,ou=Group,dc=example,dc=com
    cn: team
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

... ou usando o estilo "O":

    dn: cn=team, o=Example
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

Minhas perguntas são:

  1. Há alguma prática recomendada que dita o uso de um método sobre o outro?
  2. É apenas uma questão de preferência qual estilo você usa?
  3. Existem vantagens em usar uma sobre a outra?
  4. Um método é o estilo antigo e um é a versão nova e melhorada?

Até agora, fui com o estilo dc=example,dc=com . Qualquer conselho que a comunidade possa dar sobre o assunto seria muito apreciado.

    
por Peter Sankauskas 03.08.2009 / 05:41

1 resposta

26

O estilo dc geralmente indica uma árvore LDAP baseada em dns de algum tipo. Esse é o estilo que o Active Directory (AD) usa. Se você não se importa com as árvores LDAP baseadas em dns, então outros tipos podem ser usados muito bem. O eDirectory da Novell é uma árvore baseada em O . Algumas ressalvas:

  • O estilo DC é o que o AD usa. Muitos produtos de terceiros que suportam fontes LDAP do AD, como esse estilo de árvore, são muito melhores que as árvores baseadas em O . Eu tive problemas para fazer com que esses clientes conversassem com árvores LDAP no estilo O.
  • O AD não usa O , portanto, alguns clientes / analisadores LDAP podem não suportar isso como resultado. O mesmo vale para L (localização).
  • Se você não está enraizando o DNS em sua árvore, o estilo DC é muito menos importante
  • Estilos híbridos são bons. Sua raiz do LDAP é dc=example,dc=com e você usa uma árvore no estilo O abaixo dela. O DN pode muito bem ser, cn=bobs,ou=users,o=company,dc=example,dc=com

Em geral, sua necessidade de ser compatível com o cliente LDAP de terceiros é o que deve impulsionar sua estrutura. Se precisar de um dialeto, provavelmente será necessário que ele seja o mais ativo possível. Se eles são clientes LDAP puros, pois eles realmente suportam toda a especificação, então a estrutura não deveria importar.

Eu não conheço nenhum padrão de estrutura de árvore do ldap, mas tenho certeza que os outros irão interferir se houver algum.

    
por 03.08.2009 / 08:10

Tags