`
lvhuiqing
  • 浏览: 253233 次
  • 性别: Icon_minigender_1
  • 来自: 沈阳
社区版块
存档分类
最新评论

LDAP SCHEMA DESIGN(三)

阅读更多

3.2 Do not modify the standard schema definitions(不要修改标准schema定义)
The set of attributes and object classes described in the LDAP RFCs sometimes appear to be rather awkward. This is not surprising, as they were derived from many different postal and telecomms standards, and new ones were created whenever the early directory service developers found a new requirement. As a result, people are often tempted to “tidy up” or “correct” the standard schema. This is a Bad Idea, as knowledge of the standard attributes is embedded in many widely used products. To make matters worse, many product authors have created their own overlapping or conflicting attribute sets to enrich the “addressbook experience”.
Fortunately, the better LDAP clients can be configured to use whatever attributes you want so it is often best to ignore the more broken parts of the standard set and create your own replacements. Some clients cannot cope with this, so it is worth finding out what you have to support and how flexible it is.
在LDAP RFC中出现的属性和object class有时候会显得非常尴尬。这一点儿都不奇怪,因为这些属性和object class是从不同的邮政电信标准演化而来的。随着新需求的出现,新的属性和object class被建立起来,这导致人们总是去试图整理和修正标准schema。这无疑是一个坏主意:因为标准attribute是作为一种约定俗成而嵌入到很多产品中。更为糟糕的是:很多产品的作者创建了只属于他们自己的属性集来丰富“addressbook experience”,而这些属性集经常会与标准属性集重叠甚至冲突。
幸运的是,比较好的LDAP客户端可以配置成可以使用任意的属性集,在这种情况下,自豪不要使用标准集中的那些“损坏的”部分,而自定义自己的属性集。某些客户端则不能做到自定义,那就必须花时间找出必须要支持的部分以及弹性如何。
3.3 Beware the Structural Object Class(留意结构性的object class)
Every entry has a Structural object class. This defines its fundamental characteristics, and cannot be changed once the entry has been created. If you define new attributes, or want to combine existing ones in new ways, you will need to create new object classes that allow this to happen. Most of the examples in the standards show this being done by subclassing existing object classes, but this creates problems. The LDAP standard diverged from X.500 just before the development of X.500 (1993), and has adopted parts of the later versions piecemeal. One of the later innovations was to split object classes into three types and to tighten the rules on how they could be combined. LDAP servers have now started to enforce these rules, and as a result the over-use of structural object classes can seriously limit the flexibility of a directory service.
所有的实体都拥有一个结构性的object class。这个object class定义了其基础属性。一旦该实体被建立,其object class不能被修改。如果你要定义新的属性,或者想把已经存在的属性重新组合,你需要定义新的object class才能实现。很多标准示例显示可以通过subclassing来实现,但是这会带来问题:LDAP起源于X.500的初始阶段而且采用了了很多X.500后来版本的特性。其中的最新的变革是将object class分为三类,而且规定了他们是否可以组合。LDAP服务器现在开始强制实行这些规则,这会导致结构性object class过多使用会严重限制目录服务的可扩展性。
I recommend that you pick a well-understood structural class for each type of entry, and then add Auxiliary object classes where needed. The rules for combining these are much simpler, and they can be added to existing entries or removed if desired. Some reasonable structural classes are:
Object Structural class
Person inetOrgPerson
Role organizationalRole
Department organizationalUnit
Organisation organization
你最好为每个实体选择一个容易理解的结构性object class,然后在需要的情况下添加辅助性的object class。针对组合的规则应该尽量做到简单,这样他们可以被加到已经存在的实体上,或者在需要的时候被移除。一些容易理解的结构性class如下:
4 DIT Layout
4.1 Top levels
The standards place very few restrictions on the form of the DIT, though if it is to be used with common client software there are some conventions that should be observed. There are two common forms used for the higher levels in the tree: geographic and domain-based. The geographic form was used in all examples in the original X.500 standards, as it is most suitable for global-scale “white pages” searching. Domain-based trees were introduced later, partly so that installers could avoid dealing with country-level registration authorities and partly to provide a simple way to map Internet domain names into the DIT. The two forms are shown in Figure 1.
DIT的形式,没有多少必须遵循的规范可言。如果一些普通的客户端软件来使用DIT的话,有一些约定需要注意。DIT的较高层次有两种常见形式:基于地理位置和基于域。在最初的X.500规范中,全部使用地理模式,这种模式比较适用于全球范围内的文本搜索。基于域的树出现的比较晚,这种树的一个有优点是:这样以来安装者可以处理国家层面的注册认证,另一方面可以提供一种将Internate域名映射到DIT的简单方法。
For an isolated directory system it makes little difference which form is chosen, though it is always wise to choose a base name that will not clash with any other directories that might get linked in future. The two forms can co-exist under the same virtual root if required. For most “internal” directory services, the Domain Component tree is the better choice. There is a direct mapping between DNS names and the upper levels of the tree, which allows the address of the LDAP server to be stored in the DNS and can make client configuration simpler. I generally recommend carrying the DC names down into the “local” part of the tree, as this makes it easier to divide the tree among several servers if required.
Our Example Organisation owns the domain name example.org so we will choose
ds.example.org as the base for the directory service. This translates to an LDAP suffix of dc=ds,dc=example,dc=org
对于一个独立的目录系统而言,选择什么形式影响不大。只要能保证名称不与未来可能有联系的目录系统不发生冲突即可。如果需要的话,两种形式可以在同一虚拟根目录下共存。对于大多数“网络”目录服务而言,基于域的树是比较好的选择。在DNS系统中保存的dns名称与树的较高层次存在映射的话,这样可以使得LDAP地址保存在dns中,从而使得客户端配置变得容易一些。强烈推荐将DC放到树的local部分,这样一来可以很容易在需要的情况下把一棵树分成几个独立的Server。
我们的示例组织拥有example.org的域名,因此,我们将会选择ds.example.org作为目录服务的基础。该域名翻译成LDAP前缀是dc=ds,dc=example,dc=org。

分享到:
评论

相关推荐

    LDAP SCHEMA DESIGN

    ### LDAP Schema Design详解 #### 一、概述 LDAP(Lightweight Directory Access Protocol)是一种用于访问目录服务的标准协议,被广泛应用于各种场景下的人、组织、角色和服务等实体的信息管理。由于其标准化特性...

    LDAP_Schema的概念和基本要素

    ### LDAP Schema的概念与基本要素详解 #### 一、引言 在现代企业级应用中,LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)作为一种高效、灵活且功能强大的目录服务标准,广泛应用于用户认证、...

    openldap,ldapbrowser,mozillaOrgPerson.schema

    标题中的"openldap, ldapbrowser, mozillaOrgPerson.schema"提到了三个关键概念,分别是OpenLDAP、LdapBrowser和MozillaOrgPerson的Schema。这些是IT领域中与目录服务、LDAP(轻量级目录访问协议)以及特定的数据...

    debian下ldap服务器配置

    在 Debian 系统中搭建 LDAP 服务器需要完成安装、配置和测试三个步骤。下面将详细讲解每个步骤的实现过程。 步骤1:安装LDAP 首先,需要安装 LDAP 服务器和相关工具。使用以下命令安装: ``` # apt-get install ...

    ldaf schema

    ### LDAP Schema设计详解 在企业级应用环境中,利用单一的LDAP目录服务器为多个应用程序提供服务是一种常见的实践方式。这一策略显著降低了数据维护的工作量,但同时也对目录的设计提出了更高的要求,尤其是在实施...

    owncloud-ldap-schema:OwnCloud配额的LDAP模式

    OwnCloud的LDAP架构参考: : ownCloud架构OwnCloud Inc.已注册 ,我们对其进行了扩展以定义所需的LDAP对象OID :1.3.6.1.4.1.39430.1.2.1 ObjectClass :ownCloud配额字段ownCloud可以读取LDAP属性并根据其值设置...

    schema2ldif:模式2 ldif:用于将.schema转换为.ldif文件并将其管理到openldap服务器中的工具

    这款工具涉及的技术标签包括“converter”、“schema-migrations”、“ldap”、“schema”、“perl”、“openldap”和“ldif”,涵盖了模式转换、迁移、LDAP目录服务、Perl编程以及LDIF数据交换等多个领域,显示了...

    LdapBrowser ldap连接工具

    **三、LdapBrowser在IT管理中的应用** 1. **用户管理**:通过LdapBrowser,IT管理员可以快速创建、修改和删除用户账户,分配权限,实现集中化的用户身份管理。 2. **组策略管理**:可以定义和应用组策略,控制用户...

    LdapBrowser282.rar_LdapBrows_LdapBrowser.282_ldap_ldapBrowser_op

    标题中的"LdapBrowser282.rar_LdapBrows_LdapBrowser.282_ldap_ldapBrowser_op"指的是LdapBrowser的282版本的压缩文件,它包含了该软件的相关组件和可能的操作指南。LdapBrowser是一款专用于管理和查看OpenLDAP...

    ldap 详解(linux 下的ldap配置精华文档)

    在 LDAP 中,objectClass 的定义可以来自多个来源,包括标准的 LDAP_schema、 vendor-specific schema 和自定义的 schema。每个 objectClass 都有其对应的属性和语义,这些属性可以是必须的、可选的或是禁止的。 ...

    LdapBrowser2.82版和LDAP使用手册

    **LDAP简介** LDAP,全称为轻量级目录访问协议(Lightweight Directory Access Protocol),是一种用于访问和管理分布式目录服务的标准网络协议。它主要用于存储和检索用户、组织、资源等信息,广泛应用于身份验证...

    LdapAdmin---LDAP工具

    **LDAP(轻量级目录访问协议)是一种用于访问和管理分布式目录服务的协议,广泛应用于组织内部的身份验证、用户及资源管理。LdapAdmin是一款专为Windows操作系统设计的高效、稳定的LDAP管理工具,它允许管理员便捷地...

    ldap安装与客户端ldapadmin windows

    **LDAP(轻量级目录访问协议)是一种网络协议,用于访问和管理分布式目录服务。它在各种操作系统上广泛使用,包括Windows。本文将详细介绍在Windows环境下安装LDAP服务器以及使用 LDAP 客户端工具 LdapAdmin 的步骤...

    简单的ldap客户端,可替代ldapAdmin

    **LDAP简介** LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,常用于存储和检索用户账户、联系人信息、配置数据等结构化信息。它基于X.500标准,但设计得更为简单且适合互联网环境。LDAP...

    ldap 浏览器 LdapBrowser282

    **LDAP浏览器LdapBrowser282详解** LDAP(Lightweight Directory Access Protocol)是一种用于访问目录服务的协议,常用于组织和管理用户、组、资源等信息。LdapBrowser282是一款专门针对LDAP目录服务的浏览和管理...

    ldap.zip_LDAP DELPHI_delphi ldap

    在DELPHI编程环境中,我们可以利用第三方库或者DELPHI自身的组件来实现对LDAP服务器的连接、查询和操作。 在这个名为"ldap.zip"的压缩包中,包含了使用DELPHI开发的一个电话簿应用,该应用集成了LDAP功能。下面我们...

    ldapadmin,windows下管理ldap的工具

    **LDAPadmin:Windows环境下的LDAP管理工具** 在IT领域,LDAP(Lightweight Directory Access Protocol)是一种广泛用于存储和检索用户信息、配置数据等目录服务的数据访问协议。它为分布式网络提供了一个标准的...

    ldapbrowser,LDAP连接工具

    `ldapbrowser`作为一个IBM类工具,可能意味着它具有与IBM系统或服务集成的能力,或者是IBM推荐的用于管理其LDAP部署的第三方工具。 **Java与LDAP浏览器** 由于`ldapbrowser`被提及为“类似jar包打开工具”,我们...

    svn+ldap+sasl认证(svn通过ldap用户进行认证登陆)

    在实现 svn+ldap+sasl 认证时,需要安装 ldap 服务器和配置 ldap 服务,然后在 svn 服务器中配置 sasl 认证协议,使用 ldap 服务器进行用户认证。下面是实现 svn+ldap+sasl 认证的步骤: 1. 安装 ldap 服务器 首先...

Global site tag (gtag.js) - Google Analytics