我需要知道我应该使用哪种组来对LDAP中的用户进行分组.
我基本上需要函数MemberOf,以获得基于组成员身份的一些权限.
例:
用户1是第1组和第2组的成员.
这些组需要是动态的,如Active Directory.
问题来了,因为我有这些选择:
Samba: Group Mapping
User Group
Generic: Posix Group
对于用户来说也是如此,我应该选择哪一个?
Generic: User Account
Samba: Account
我找不到一个显示差异的好网站,任何链接都将非常感激.
mr.*_*tic 17
LDAP/X.500定义只有组对象具有成员属性,逆关系,其中用户对象具有的memberOf在OpenLDAP的属性可以用来实现memberof覆盖.NDS/eDir和AD通过魔术实现了这一点.LDAP本身不定义动态双向成员/组对象/属性.与该叠加相关的是重写叠加,其有助于完成幻觉(并且还解决了总是需要至少一个成员的群体的轻微刺激性问题).
通常有两种有趣的组类型可供选择,groupOfNames或者groupOfUniqueNames第一种GroupOfNames类型适合大多数用途.后者groupOfUniqueNames具有稍微深奥的特征:它允许成员DN包含数字UID后缀,以便在将DN重新分配给不同实体时保留成员的唯一性.两种形式都不会在成员列表中强制使用唯一的DN.
其他类型的组具有不同的目的(由架构和应用程序定义).较不常见的组类型对象是RFC 2256 角色(organizationalRole类型,带roleOccupant属性),这隐含地用于基于角色的访问控制,但在其他方面类似于其他组类型(感谢EJP的提示).
该posixGroup类型代表传统的unix组,由a gidNUmber和列表memberUid's 标识.它不是DIT中的通用组对象,而是由应用程序(即LDAP客户端层)来实现/观察它.
说到用户帐户,帐户对象类型不应该被认为是独占的,每种类型通常以兼容的方式向用户对象添加属性(尽管如果它是结构的,objectClass 可以是独占的,这不是你经常会有的东西一般担心).
| 归档时间: |
|
| 查看次数: |
13630 次 |
| 最近记录: |