LDAP 结构：dc=example,dc=com vs o=Example

Question

我对 LDAP 比较陌生，已经看到了两种如何设置结构的示例。

一种方法是使用基础是：dc=example,dc=com而其他示例的基础是o=Example。继续下去，您可以拥有一个如下所示的组：

    dn: cn=team,ou=Group,dc=example,dc=com
    cn：团队
    对象类：posixGroup
    成员标识：user1
    成员标识：user2

...或使用“O”样式：

    dn：cn=团队，o=示例
    对象类：posixGroup
    成员标识：user1
    成员标识：user2

我的问题是：

1. 是否有任何最佳实践要求使用一种方法而不是另一种方法？
2. 您使用哪种风格只是偏好问题吗？
3. 使用一种比另一种有什么优势吗？
4. 一种方法是旧风格，一种是新改进的版本吗？

到目前为止，我已经采用了这种dc=example,dc=com风格。社区可以就此事提供的任何建议将不胜感激。

Answer 1

该dc样式通常表示某种基于 dns 的 LDAP 树。这是 Active Directory (AD) 使用的样式。如果您不关心基于 dns 的 LDAP 树，那么可以使用其他类型。Novell 的 eDirectory 是一个O基于树。一些注意事项：

• DC风格是AD使用的。许多支持 AD LDAP 源的 3rd 方产品都喜欢这种风格的树，比O基于树的要好得多。我在让这些客户端与 O 型 LDAP 树交谈时遇到了麻烦。
• AD 根本不使用O，因此某些 LDAP 客户端/解析器可能不支持它。这同样适用于L（地点）。
• 如果您不是 DNS 根植您的树，那么 DC 风格就不那么重要了
• 混合风格就好了。您的 LDAP 根是dc=example,dc=com，并且您在其下使用 O 样式的树。DN 很可能是，cn=bobs,ou=users,o=company,dc=example,dc=com

一般来说，与 3rd 方 LDAP 客户端兼容的需求是驱动您的结构的动力。如果它需要方言，它可能需要看起来尽可能像活动目录。如果它们是纯 LDAP 客户端，因为它们确实支持整个规范，那么结构应该无关紧要。

我不知道任何 ldap 树结构标准，但我敢肯定，如果有的话，其他人会加入的。