Eu costumo usar apenas tags DC para o DN raiz. Por exemplo:
DC=something,DC=example,DC=COM
Eu também corresponto parte da raiz com o domínio (neste caso, seria example.com). É apenas um hábito, não vai ajudar ou dificultar a sua capacidade de usar contas proxy, por exemplo.
Cada produto habilitado para LDAP em que posso pensar permite que você especifique o DN completo do caminho onde seus usuários estão localizados. Portanto, os componentes que você usa não importam tanto quanto a própria estrutura (chamada de Árvore de Informações do Diretório ou DIT). Você basicamente tem que equilibrar duas coisas:
- Uma estrutura plana é uma prova futura
- Uma estrutura profundamente aninhada permite maior controle (delegação, segregação de usuários)
Um DIT simples, onde, por exemplo, todos os usuários estarão em:
OU=Users,DC=something,DC=example,DC=COM
Vai caber qualquer estrutura organizacional que você tem que trabalhar contra. Mas você sacrificará alguma habilidade de segregar usuários entre aplicativos usando seu LDS.
Aqui está um exemplo. Se você tiver dois aplicativos, poderá ter:
OU=Application_A,OU=Users,DC=something,DC=example,DC=COM
OU=Application_B,OU=Users,DC=something,DC=example,DC=COM
Mas o que acontecerá se um usuário de Application_A
quiser usar Application_B
? O mesmo vale para grupos:
OU=Groups_A,OU=Users,DC=something,DC=example,DC=COM
OU=Groups_B,OU=Users,DC=something,DC=example,DC=COM
Em suma, não se preocupe com componentes, mas pense em como seu DIT se ajustará em um cenário de reutilização diferente.