Ldap

在 LDAP 中,最好將組嵌套在組織單位下,還是直接在根 dn 下為組創建一個組織單位?

  • October 21, 2013

我不確定將組嵌套在我的每個組織單位下還是直接在根 DN 下為組創建一個組織單位是否更好。一種被認為優於另一種的最佳實踐?我想讓我的配置盡可能的簡單,以最大限度地與支持 LDAP 的應用程序兼容。

我的迫切需求包括:

  1. 與 Atlassian Crowd 的 SSO
  2. Google Apps Directory Sync(LDAP 組 -> 郵件列表)
  3. 用於 Windows 身份驗證的 pGina

這是一個圖表,顯示了我正在考慮的兩種策略:

在此處輸入圖像描述

根據 AD 設計指南,在設計結構時需要考慮兩件事:1)行政控制授權和 2)組策略。

由於組策略不適用於組,因此您基本上只剩下一個 - 管理控制委派。您的模型 B 提供了在每所學校執行一些本地行政任務委派的選項,這可能是您將實施的事情,所以這就是我所追求的。

我已經看到了按組類型將組進一步劃分為單獨 OU 的範例,例如應用程序組、策略組、權限組等。

引用自:https://serverfault.com/questions/546131