2 Requirements
When considering an LDAP deployment that is to serve more than one application, it is important to get the widest possible view of the host organisation and its future needs. This is because it is easy to change the shape of the DIT at the design stage but very hard once data has been loaded and applications are running.
一旦意识到一个LDAP部署将会为多个应用提供服务时,就必须从尽可能宽泛的视角来进行组织管理和特性需求。因为DIT的设计在设计阶段修改起来时很容易的,但是一旦数据已经导入进去或者应用已经启动的话,修改起来就会十分困难。
2.1 The Example Organisation
Consider a hypothetical organisation called The Example. It has a domain name example.org and wants to integrate several systems that handle data relating to people. The services required are:
假设有这样一个被称为The Example的组织,该组织的域名为example.org,该组织要求整合与人员信息相关的多个系统。该服务需求罗列如下:
White Pages searches for People and Roles, from several existing user interfaces?? Authentication - simple (e.g. web portal) and with extra data (e.g. Samba for Windows clients and Unix NSS/PAM)?? Authorisation - groups of various sorts, permissions, access-control for particular applications
?? Storage of application-specific data - config, personalisation, mapping tables
?? Integration of mail-system configuration with White Pages directory It is certainly possible to meet all these requirements with a single LDAP-based directory,
though it will need some careful thought about how the data is to be managed.
基于现有的用户接口,进行针对人员及角色信息的文本搜索。
授权,简单授权和带有附加数据的授权。
鉴权,不同组别对特定程序的访问控制。
保存应用程序相关数据:配置数据,个性化数据,表单映射。
将邮件系统配置与文本目录集成。
通过认证的规划数据,通过一个单独的LDAP目录满足以上需求是可能的。
3 LDAP issues and design principles
3.1 Avoid renaming things(避免重新命名)
Once an object has been created in an LDAP directory it is likely that the name of that object will get stored in other objects, or even outside the directory entirely. This suggests that objects should never be renamed, which in turn restricts the choice of how they should be named in the first place.
在LDAP目录中,对象一旦被创建,这就意味着这个对象被存储在其他对象的内部,或者是目录实体中。因此对象不应该被重新命名,换句话说如何为对象选择名称是首要问题。
Most of the examples in the X.500 and LDAP standards documents use “natural” names for objects. Thus the object representing a person is usually shown with an RDN based on the person's name. This leads to two problems: what to do if the person changes their name, and how to cope with several people who happen to share the same name. The “standard” approach to the name-clash problem is to use an extra attribute in the RDN to remove the ambiguity. Thus, multiple Fred Smiths end up with RDNs of the form “cn=Fred Smith + uid=67354”. This does not solve the name-change problem though, so I recommend that all entries representing people
or other entities that might change name should be given RDNs containing only the
uniqueIdentifier attribute: the value can be a simple serial number, which does not have to mean anything outside the directory.
在大多数X.500和LDAP标准文档中,都是采用对象的“自然”名称。比如代表人的对象的RDN通常就是此人的名字。这会导致两个问题:如果需要改名怎么办?重名怎么办?针对名字冲突的标准解决方案是加上附加属性以消除模糊性。因此,多个Fred Smith应该采用以类似于““cn=Fred Smith + uid=67354”结尾的RDN。但这仍然无法解决名称改变的问题,为了解决这一问题,我们可以提出这样一个原则:代表人员及其他可能改名的实体应该采用包含唯一标识的RDN。该唯一标识可能是一串数字,这串数字在目录之外毫无意义。
There is a potential problem with this approach too: some directory user interfaces use the RDN value to title the entry display. A meaningless serial number would look odd when used for that purpose. Fortunately this behaviour is now rare, and the standards provide an attribute that is explicitly intended for the job: displayName. It is thus a good idea to include displayName in every directory entry.
但是这种方法也有一个潜在的问题:一些目录使用接口使用RDN作为实体展示的title,毫无意义的数字序列看起来非常奇怪。幸运的是这种行为现在已经很少见了,展示用的title应该使用一个显式属性:displayname。因此最好在每个目录实体中都包含一个displayname。
分享到:
相关推荐
### LDAP Schema Design详解 #### 一、概述 LDAP(Lightweight Directory Access Protocol)是一种用于访问目录服务的标准协议,被广泛应用于各种场景下的人、组织、角色和服务等实体的信息管理。由于其标准化特性...
#### 二、LDAP Schema概述 LDAP Schema类似于数据库中的模式定义,它为LDAP目录服务提供了必要的结构和规则指导。通过定义不同类型的对象及其属性,Schema使得LDAP服务器能够正确地识别和处理目录中的信息。具体而...
标题中的"openldap, ldapbrowser, mozillaOrgPerson.schema"提到了三个关键概念,分别是OpenLDAP、LdapBrowser和MozillaOrgPerson的Schema。这些是IT领域中与目录服务、LDAP(轻量级目录访问协议)以及特定的数据...
### LDAP Schema设计详解 在企业级应用环境中,利用单一的LDAP目录服务器为多个应用程序提供服务是一种常见的实践方式。这一策略显著降低了数据维护的工作量,但同时也对目录的设计提出了更高的要求,尤其是在实施...
include /etc/ldap/schema/inetorgperson.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args loglevel 256 modulepath /usr/lib/ldap moduleload back_bdb sizelimit 500 tool-threads 1...
OwnCloud的LDAP架构参考: : ownCloud架构OwnCloud Inc.已注册 ,我们对其进行了扩展以定义所需的LDAP对象OID :1.3.6.1.4.1.39430.1.2.1 ObjectClass :ownCloud配额字段ownCloud可以读取LDAP属性并根据其值设置...
这款工具涉及的技术标签包括“converter”、“schema-migrations”、“ldap”、“schema”、“perl”、“openldap”和“ldif”,涵盖了模式转换、迁移、LDAP目录服务、Perl编程以及LDIF数据交换等多个领域,显示了...
**二、OpenLDAP简介** OpenLDAP是开源的LDAP实现,它提供了一个灵活、可扩展的目录服务框架,可用于构建企业级的身份认证和授权系统。OpenLDAP支持多种操作系统,包括Windows、Linux和Unix等。 **三、LdapBrowser...
标题中的"LdapBrowser282.rar_LdapBrows_LdapBrowser.282_ldap_ldapBrowser_op"指的是LdapBrowser的282版本的压缩文件,它包含了该软件的相关组件和可能的操作指南。LdapBrowser是一款专用于管理和查看OpenLDAP...
在 LDAP 中,objectClass 的定义可以来自多个来源,包括标准的 LDAP_schema、 vendor-specific schema 和自定义的 schema。每个 objectClass 都有其对应的属性和语义,这些属性可以是必须的、可选的或是禁止的。 ...
**LDAP简介** LDAP,全称为轻量级目录访问协议(Lightweight Directory Access Protocol),是一种用于访问和管理分布式目录服务的标准网络协议。它主要用于存储和检索用户、组织、资源等信息,广泛应用于身份验证...
**LDAP(轻量级目录访问协议)是一种用于访问和管理分布式目录服务的协议,广泛应用于组织内部的身份验证、用户及资源管理。LdapAdmin是一款专为Windows操作系统设计的高效、稳定的LDAP管理工具,它允许管理员便捷地...
**LDAP(轻量级目录访问协议)是一种网络协议,用于访问和管理分布式目录服务。它在各种操作系统上广泛使用,包括Windows。本文将详细介绍在Windows环境下安装LDAP服务器以及使用 LDAP 客户端工具 LdapAdmin 的步骤...
**LDAP简介** LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,常用于存储和检索用户账户、联系人信息、配置数据等结构化信息。它基于X.500标准,但设计得更为简单且适合互联网环境。LDAP...
**LDAP浏览器LdapBrowser282详解** LDAP(Lightweight Directory Access Protocol)是一种用于访问目录服务的协议,常用于组织和管理用户、组、资源等信息。LdapBrowser282是一款专门针对LDAP目录服务的浏览和管理...
**LDAPadmin:Windows环境下的LDAP管理工具** 在IT领域,LDAP(Lightweight Directory Access Protocol)是一种广泛用于存储和检索用户信息、配置数据等目录服务的数据访问协议。它为分布式网络提供了一个标准的...
【LDAP与DELPHI在开发电话簿应用中的整合】 LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,常用于存储和检索用户、组织等结构化数据。它允许客户端通过TCP/IP协议来访问分布式目录服务...
在实现 svn+ldap+sasl 认证时,需要安装 ldap 服务器和配置 ldap 服务,然后在 svn 服务器中配置 sasl 认证协议,使用 ldap 服务器进行用户认证。下面是实现 svn+ldap+sasl 认证的步骤: 1. 安装 ldap 服务器 首先...
在讨论CentOS 6上配置LDAP服务器时,涉及到的核心知识点包括了解LDAP协议的基础知识、安装和配置OpenLDAP服务器、管理LDAP数据库和条目、以及确保LDAP服务的安全性。下面将详细介绍这些知识点。 ### LDAP协议基础 ...