我想使用 LDAP 协议来组织我的组织。 组织单位和posixGroup有什么区别?
【问题讨论】:
posixGroup 代表 POSIX 用户组(UNIX 组条目)。所以我猜你不想使用 posixGroup :) (请注意,通常还有 groupOfNames 和 groupOfUniqueNames 对象类......但你可能需要组织单位)。
组织单元 (OU) 用于定义层次树结构来组织目录中的条目(用户、计算机、组等)。就像Pavel 所说,posixGroup 是一个对象类,用于表示 UNIX 组的条目。
您需要使用 OU 来组织您的 LDAP 条目。例如:
+ OU=Users,DC=example,DC=com
- CN=Jane Doe,OU=Users,DC=example,DC=com
- CN=John Smith,OU=Users,DC=example,DC=com
+ OU=Groups,DC=example,DC=com
+ OU=DistributionLists,OU=Groups,DC=example,DC=com
- CN=DL_ITNews,OU=DistributionLists,OU=Groups,DC=example,DC=com
+ OU=PosixGroups,OU=Groups,DC=example,DC=com
- CN=GlobalAdmins,OU=PosixGroups,OU=Groups,DC=example,DC=com
- CN=LocalSudoers,OU=PosixGroups,OU=Groups,DC=example,DC=com
+ OU=Computers,DC=example,DC=com
+ OU=Laptops,OU=Computers,DC=example,DC=com
- CN=LaptopA,OU=Laptops,OU=Computers,DC=example,DC=com
- CN=LaptopB,OU=Laptops,OU=Computers,DC=example,DC=com
+ OU=Desktops,OU=Computers,DC=example,DC=com
- CN=DesktopA,OU=Desktops,OU=Computers,DC=example,DC=com
- CN=DesktopB,OU=Desktops,OU=Computers,DC=example,DC=com
这为我们提供了一种维护许多不同类型的 LDAP 条目的合乎逻辑的方式,并且 OU 可以“扩展”以暗示相似条目之间的更多区别。在这里,我们有两个 posixGroup 条目,它们被组织到它们自己的 OU PosixGroups 中,属于父 OU Groups。这些组可能具有描述组或定义成员资格的属性(例如,Jane Doe 可能在GlobalAdmins 组中,该组授予对Computers OU 中所有设备的root 访问权限),但是如何使用posixGroups 以及适用于哪些规则它们由系统管理员和使用它们的应用程序定义。与 OU 不同,posixGroups 本身不提供任何固有的组织结构。
【讨论】: