Estrutura LDAP: dc = exemplo, dc = com vs o = Exemplo

18

Sou relativamente novo no LDAP e já vi dois tipos de exemplos de como configurar sua estrutura.

Um método é ter a base sendo: dc=example,dc=comenquanto outros exemplos têm a base o=Example. Continuando, você pode ter um grupo parecido com:

    dn: cn = equipe, ou = grupo, dc = exemplo, dc = com
    cn: equipe
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

... ou usando o estilo "O":

    dn: cn = equipe, o = exemplo
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

Minhas perguntas são:

  1. Existem práticas recomendadas que determinam o uso de um método por outro?
  2. É apenas uma questão de preferência qual estilo você usa?
  3. Existem vantagens em usar um sobre o outro?
  4. Um método é o estilo antigo e um é a versão nova e aprimorada?

Até agora, eu fui com o dc=example,dc=comestilo. Qualquer conselho que a comunidade pudesse dar sobre o assunto seria muito apreciado.

Peter Sankauskas
fonte

Respostas:

26

O dcestilo geralmente indica uma árvore LDAP baseada em DNS de algum tipo. Esse é o estilo que o Active Directory (AD) usa. Se você não se importa com as árvores LDAP baseadas em DNS, outros tipos podem ser usados ​​perfeitamente. O eDirectory da Novell é uma Oárvore baseada. Algumas advertências:

  • O estilo DC é o que o AD usa. Muitos produtos de terceiros que oferecem suporte a fontes AD LDAP gostam desse estilo de árvore muito melhor do que as Oárvores baseadas. Eu tive problemas para fazer com que esses clientes conversem com árvores LDAP no estilo O.
  • O AD não usa O, portanto, alguns clientes / analisadores LDAP podem não suportá-lo como resultado. O mesmo vale para L(localização).
  • Se você não está torcendo por DNS em sua árvore, o estilo DC é muito menos importante
  • Estilos híbridos são ótimos. Sua raiz LDAP é dc=example,dc=come você usa uma árvore de estilo O sob essa. DN's poderia muito bem ser,cn=bobs,ou=users,o=company,dc=example,dc=com

Em geral, sua necessidade de ser compatível com o cliente LDAP de terceiros é o que deve impulsionar sua estrutura. Se precisar de um dialeto, provavelmente precisará parecer o mais ativo possível. Se eles são clientes LDAP puros, na medida em que realmente suportam toda a especificação, a estrutura não deve importar.

Não conheço nenhum padrão de estrutura de árvore LDAP, mas tenho certeza de que outros irão aparecer se houver algum.

sysadmin1138
fonte
11
+1 boa resposta. Coisas esclarecidas para mim também.
John Gardeniers