我正在设计 LDAP 结构,基本上应该包含用户和组。应该支持嵌套组(所以我考虑使用groupOfNames对象类)和我将使用的用户inetOrgPerson。不过还有一个额外条件——有些群组目前没有成员。
因此,我的研究表明,我可以考虑groupOfEntries在我的 openLDAP 实例中使用 as 对象类。groupOfNames除了成员属性是可选的(必须)之外,它与其他相同。我找不到任何说明如何使用标准LDAP 对象类处理可选成员资格的官方文档。
我找到了 2008 年提交给 IETF 的草稿groupOfEntries,但我无法收集到更多信息。
我们是否应该使用这个对象类是否有官方决定?
它是否存在于任何可以导入 openLDAP 的可选模式中?
我的考虑主要是考虑使用此对象类时“支持程度如何”、“安全程度如何”和“官方程度如何”?我想听听关于此事的一些意见,也将不胜感激任何建议的替代方案。谢谢你的时间!
Findlay 草案的创建是为了提供一种分组机制,其中
member属性是可以(而不是必须),正如您所发现的那样。有些服务器有架构,有些则没有。该架构包含在草案中。但是,我认为自选秀以来就没有活动。一些目录服务器产品附带了对
groupofEntries但不是全部的支持。UnboundID Directory Server 和可能的 OpenDSgroupofEntries以模式的形式支持,但没有什么可以阻止管理员提供适当的模式元素。至于这是否是个好主意:如果您需要它并且您的 LDAP 客户端需要它并且不能重新编码以支持 RFC(与休眠草案相反),或者如果数据模型需要它,那么管理员应该支持它。客户端、服务器和数据建模者应该遵守标准,但在感觉标准有缺陷的地方,替代方案可能会流行起来。
查看 organizationalRole 和 groupOfUniqueNames。