- 規劃LDAP最簡單的方式,是根據組織的現況,繪製組織圖,再將組織圖轉成Data Information Tree。
當然除了人員、部門已外,可能也會有將群組、應用程式、設備...等資料,納入LDAP管理的需求,這是ok的。
- LDAP的rootdn設定,是建立LDAP的起點,一般有兩種主要的命名方式:
(1) Geographic naming,例:suffix "o=組織名稱, c=國家名稱簡寫"
(2) Domain-based Naming,例:suffix "dc=組織名稱(簡稱), dc=網路域名"
以上是常見的規劃,當然不是只有這兩種形式可以選用,其他的形式,例:ou=部門名稱, o=組織名稱 ... 等
- 上述2的內容,再安裝LDAP server作基本設定的時候,就應該要想清楚、準備ok了,這裡只是重複說明一下。
- 接下來,也許會用 JXplorer / LDAPadmin,來建構資料的架構及內容。也可能會用LDIF(LDAP Database Interchange Format)檔案將準備好的資料,轉入LDAP,採用LDIF轉入資料,會是一個快速又有效的方法,CentOS有一個Migrationtools,提供了許多將Linux Users匯轉到LDAP的工具程式,程式所在位置: /usr/share/openldap/migration。
- 那 cn, o, ou, dc, c ...是什麼意思?詳細的說明,可以參閱 RFC 2253 LDAPv3 Distinguished Names 的內容說明。
dn: distinguished name
cn: common name
l: locality name
st: state or provinceName
o: organizationalName
ou: organizationalUnitName
c: countryName
street: streetAddress
dc: domain component
uid: user id
- LDAP的設計原則:
(1) 避免重新命名
(2) 不要修改標準的schema定義
(3) 選用適當的objectName
- 常用在組織或人員的objectClass:account / inetOrgPerson / organization / organizationalPerson / organizationalRole / organizationalUnit / person ...
參考資料:RFC 2798 Definition of the inetOrgPerson LDAP objectClass
本文原由作者本人於 2010-07-04 整理發表於 http://bod.tw/modules/tadnews/index.php?nsn=21
沒有留言:
張貼留言