2011-02-11

[LDAP入門]:建構LDAP的DIT

  1. 規劃LDAP最簡單的方式,是根據組織的現況,繪製組織圖,再將組織圖轉成Data Information Tree。
    當然除了人員、部門已外,可能也會有將群組、應用程式、設備...等資料,納入LDAP管理的需求,這是ok的。
  2. LDAP的rootdn設定,是建立LDAP的起點,一般有兩種主要的命名方式:
    (1) Geographic naming,例:suffix "o=組織名稱, c=國家名稱簡寫"
    (2) Domain-based Naming,例:suffix "dc=組織名稱(簡稱), dc=網路域名"
    以上是常見的規劃,當然不是只有這兩種形式可以選用,其他的形式,例:ou=部門名稱, o=組織名稱 ... 等
  3. 上述2的內容,再安裝LDAP server作基本設定的時候,就應該要想清楚、準備ok了,這裡只是重複說明一下。
  4. 接下來,也許會用 JXplorer / LDAPadmin,來建構資料的架構及內容。也可能會用LDIF(LDAP Database Interchange Format)檔案將準備好的資料,轉入LDAP,採用LDIF轉入資料,會是一個快速又有效的方法,CentOS有一個Migrationtools,提供了許多將Linux Users匯轉到LDAP的工具程式,程式所在位置: /usr/share/openldap/migration。
  5. 那 cn, o, ou, dc, c ...是什麼意思?詳細的說明,可以參閱 RFC 2253 LDAPv3 Distinguished Names 的內容說明。
    dn: distinguished name
    cn: common name
    l: locality name
    st: state or provinceName
    o: organizationalName
    ou: organizationalUnitName
    c: countryName
    street: streetAddress
    dc: domain component
    uid: user id
  6. LDAP的設計原則:
    (1) 避免重新命名
    (2) 不要修改標準的schema定義
    (3) 選用適當的objectName
  7. 常用在組織或人員的objectClass:account / inetOrgPerson / organization / organizationalPerson / organizationalRole / organizationalUnit / person ...

參考資料:RFC 2798 Definition of the inetOrgPerson LDAP objectClass

本文原由作者本人於 2010-07-04 整理發表於 http://bod.tw/modules/tadnews/index.php?nsn=21

沒有留言:

張貼留言