我正在研究LDAP结构的devise,基本上应该是用户和组。 应该支持嵌套组(所以我想使用groupOfNames对象类),对于用户我将使用inetOrgPerson 。 还有一个额外的条件 – 有一些组目前将没有成员。
因此,我的研究表明,我可以考虑在我的openLDAP实例中使用groupOfEntries作为对象类。 除了成员属性是可选的(必须)之外,它与groupOfNames相同。 我找不到任何官方文档说明如何处理使用标准 LDAP对象类的可选成员资格。
我从2008年groupOfEntries将groupOfEntries的草稿发给IETF,但是我无法收集到更多的信息。
如果我们应该使用这个对象类,有没有官方的决定?
它是否存在于可以导入到openLDAP的任何可选模式中?
我的考虑大多是“如何得到很好的支持”,“有多安全”和“如何正式”被认为是使用这个对象类? 我想听听这个问题的一些意见,也build议任何替代品将不胜感激。 谢谢你的时间!
Findlay草案是为了提供一个分组机制,其中member属性是可以的(不是必须的),因为你已经发现。 有些服务器有架构,有些则没有。 该模式包含在草案中。 但是,自从草稿以来,我不认为这是活动。
一些目录服务器产品随附了对groupofEntries支持,但不是全部。 UnboundID目录服务器和可能的OpenDS以模式的forms支持groupofEntries ,但没有什么可以阻止pipe理员提供适当的模式元素。
至于是否是一个好主意:如果您需要它,并且您的LDAP客户端需要它并且不能被重新编码以支持RFC(而不是hibernate草案),或者如果数据模型需要它,那么pipe理员应该支持它。 客户端,服务器和数据build模者应该遵守标准,但是如果认为标准有缺陷,替代品可能会变得stream行起来。
看看organizationalRole和groupOfUniqueNames。