usuários LDAP como UO

Criando usuários como objetos contêineres (supondo que é realmente o que aconteceu, em vez de alterar o atributo de nomenclatura de cn = para ou =, que é basicamente um não-evento) tem algumas vantagens interessantes.

Havia um sistema de PBX (acho que a Nortel, mas não me lembro agora) que, quando usava o LDAP para armazenar usuários e informações do telefone, criava os usuários como objetos contêineres.

Isso quebra todos os tipos de coisas, mas o ganho é que o objeto Usuário pode conter objetos de configuração. Isso permite um agrupamento lógico diferente do que normalmente é tratado.

Em vez de adicionar atributos para configuração ou atribuir a equivalência de participação em grupo a algum objeto de configuração, ele permite armazenar a configuração como objetos.

Eu acho que a Citrix tem uma abordagem onde também faz isso, para armazenar algumas configurações personalizadas.

Por um lado, a UO (organizationalUnit) não tem a shadowAccount objectClass, para expirar senhas / contas, etc.

Onde, com uma conta normal, você obtém todos os atributos que acompanham cada um desses objectClasses: person, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount

Estes são definidos em: / etc / openldap / schema /

Você pode descrever seu ambiente um pouco mais?

Em um caso genérico, você pode modificar o esquema como quiser. Pode ser ou = john, user = john, unicórnio = john, etc; mas é contra a convenção. Eu diria que o admin não fez um favor a ninguém.