Structure LDAP: dc = exemple, dc = com vs o = Exemple

18

Je suis relativement nouveau sur LDAP et j'ai vu deux types d'exemples de configuration de votre structure.

Une méthode consiste à avoir la base étant: dc=example,dc=comtandis que d'autres exemples ont la base o=Example. En continuant, vous pouvez avoir un groupe ressemblant à:

    dn: cn = équipe, ou = groupe, dc = exemple, dc = com
    cn: équipe
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

... ou en utilisant le style "O":

    dn: cn = équipe, o = Exemple
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

Mes questions sont:

  1. Y a-t-il des meilleures pratiques qui dictent l'utilisation d'une méthode plutôt que l'autre?
  2. Est-ce simplement une question de préférence quel style vous utilisez?
  3. Y a-t-il des avantages à utiliser l'un par rapport à l'autre?
  4. Une méthode est-elle l'ancien style, et une la version nouvelle et améliorée?

Jusqu'à présent, je suis allé avec le dc=example,dc=comstyle. Tout conseil que la communauté pourrait donner à ce sujet serait grandement apprécié.

Peter Sankauskas
la source

Réponses:

26

Le dcstyle indique généralement une arborescence LDAP basée sur DNS. Il s'agit du style utilisé par Active Directory (AD). Si vous ne vous souciez pas des arbres LDAP basés sur DNS, d'autres types peuvent être utilisés très bien. EDirectory de Novell est un Oarbre basé. Quelques mises en garde:

  • Le style DC est ce qu'AD utilise. Un grand nombre de produits tiers qui prennent en charge les sources AD LDAP aiment ce style d'arbre beaucoup mieux que les Oarbres basés. J'ai eu du mal à amener ces clients à parler aux arborescences LDAP de type O.
  • AD n'utilise pas Odu tout, donc certains clients / analyseurs LDAP peuvent ne pas le prendre en charge en conséquence. Il en va de même pour L(emplacement).
  • Si vous ne rootez pas votre arbre DNS, le style DC est beaucoup moins important
  • Les styles hybrides sont très bien. Votre racine LDAP est dc=example,dc=com, et vous utilisez une arborescence de style O sous cela. Les DN pourraient très bien être,cn=bobs,ou=users,o=company,dc=example,dc=com

En général, votre besoin d'être compatible avec un client LDAP tiers est ce qui devrait guider votre structure. S'il a besoin d'un dialecte, il devra probablement ressembler au répertoire actif le plus possible. S'ils sont de purs clients LDAP, dans la mesure où ils prennent réellement en charge l'intégralité des spécifications, la structure ne devrait pas avoir d'importance.

Je ne connais pas de normes de structure arborescente LDAP, mais je suis sûr que d'autres feront leur apparition s'il y en a.

sysadmin1138
la source
1
+1 Belle réponse. Clarifié les choses pour moi aussi.
John Gardeniers