Cygwin sshd 和 LDAP 身份验证

Question

Peter Sankauskas

Asked: 2009-08-03 19:41:37 +0800 CST2009-08-03 19:41:37 +0800 CST 2009-08-03 19:41:37 +0800 CST

LDAP 结构：dc=example,dc=com vs o=Example

我对 LDAP 比较陌生，并且已经看到了两种类型的示例来说明如何设置您的结构。

一种方法是基数为：dc=example,dc=com而其他示例的基数为o=Example。继续，您可以有一个如下所示的组：

    dn: cn=team,ou=Group,dc=example,dc=com
    中文：团队
    对象类：posixGroup
    memberUid：用户1
    memberUid：用户 2

...或使用“O”样式：

    dn：cn=团队，o=示例
    对象类：posixGroup
    memberUid：用户1
    memberUid：用户 2

我的问题是：

到目前为止，我已经采用了这种dc=example,dc=com风格。社区可以就此事提供的任何建议将不胜感激。

sysadmin1138 · Answer 1 · 2009-08-03T22:10:26+08:00

该dc样式通常表示某种基于 dns 的 LDAP 树。这是 Active Directory (AD) 使用的样式。如果您不关心基于 dns 的 LDAP 树，则可以使用其他类型。Novell 的 eDirectory 是一个O基础树。一些警告：

DC风格是AD使用的。许多支持 AD LDAP 源的第 3 方产品都比O基于树的树好得多。我很难让这些客户端与 O 风格的 LDAP 树对话。
AD 根本不使用O，因此某些 LDAP 客户端/解析器可能不支持它。L（位置）也是如此。
如果你不是 DNS 根植你的树，那么 DC 风格就不那么重要了
混合风格很好。您的 LDAP 根是dc=example,dc=com，并且您在其下使用 O 样式树。DN很可能是，cn=bobs,ou=users,o=company,dc=example,dc=com

通常，您需要与第 3 方 LDAP 客户端兼容是驱动您的结构的因素。如果它需要一种方言，它可能需要看起来尽可能像活动目录。如果它们是纯 LDAP 客户端，因为它们确实支持整个规范，那么结构应该无关紧要。

我不知道任何 ldap 树结构标准，但我敢肯定，如果有的话，其他人会提出来。