Estructura LDAP: dc = ejemplo, dc = com vs o = Ejemplo

18

Soy relativamente nuevo en LDAP, y he visto dos tipos de ejemplos de cómo configurar su estructura.

Un método es tener el ser base: dc=example,dc=commientras que otros ejemplos tienen el ser base o=Example. Continuando, puedes tener un grupo con el siguiente aspecto:

    dn: cn = equipo, ou = Grupo, dc = ejemplo, dc = com
    cn: equipo
    objectClass: posixGroup
    memberUid: usuario1
    memberUid: usuario2

... o usando el estilo "O":

    dn: cn = equipo, o = Ejemplo
    objectClass: posixGroup
    memberUid: usuario1
    memberUid: usuario2

Mis preguntas son:

  1. ¿Existen mejores prácticas que dicten el uso de un método sobre el otro?
  2. ¿Es solo una cuestión de preferencia qué estilo usas?
  3. ¿Hay alguna ventaja en usar uno sobre el otro?
  4. ¿Es uno de los métodos el estilo antiguo y el otro la versión nueva y mejorada?

Hasta ahora, me he ido con el dc=example,dc=comestilo. Cualquier consejo que la comunidad pueda dar sobre el asunto sería muy apreciado.

ldap openldap Peter Sankauskas
fuente

Respuestas:

26

El dcestilo generalmente indica un árbol LDAP basado en dns de algún tipo. Este es el estilo que utiliza Active Directory (AD). Si no le interesan los árboles LDAP basados ​​en dns, entonces otros tipos se pueden usar perfectamente. El eDirectory de Novell es un Oárbol basado. Algunas advertencias:

  • El estilo DC es lo que usa AD. Muchos productos de terceros que admiten fuentes AD LDAP, como este estilo de árbol, son mucho mejores que los Oárboles basados. He tenido problemas para que estos clientes hablen con árboles LDAP de estilo O.
  • AD no se usa Oen absoluto, por lo que algunos clientes / analizadores LDAP pueden no ser compatibles como resultado. Lo mismo vale para L(ubicación).
  • Si no está rooteando DNS su árbol, el estilo DC es mucho menos importante
  • Los estilos híbridos están bien. Su raíz LDAP es dc=example,dc=com, y usa un árbol de estilo O debajo de eso. Los DN podrían muy bien ser,cn=bobs,ou=users,o=company,dc=example,dc=com

En general, su necesidad de ser compatible con un cliente LDAP de terceros es lo que debe impulsar su estructura. Si necesita un dialecto, probablemente tendrá que verse lo más activo posible en el directorio. Si son clientes LDAP puros, ya que realmente admiten toda la especificación, entonces la estructura no debería importar.

No conozco ningún estándar de estructura de árbol de ldap, pero estoy seguro de que otros se instalarán si los hay.

sysadmin1138
fuente
1
+1 Buena respuesta. Aclaró las cosas para mí también.
John Gardeniers