我是完全LDAP新手,我只是研究,如果我可以用它来为我的下一个项目,或更好地远离它。 这个项目将很大程度上取决于嵌套组的概念,我经常需要知道用户在哪个组中(也在哪个超级组),哪个用户在哪个组以及组中有多less人(包括子组)。 我尝试阅读ldap中的嵌套组,但很难find有关该主题的优秀文献。 到目前为止,我发现的最好的是: http : //middleware.internet2.edu/dir/groups/docs/internet2-mace-dir-groups-best-practices-200210.htm哪种推荐前向引用。
有没有其他文件描述嵌套组? 到目前为止,我不受实现限制,所以它可以是例如openLDAP特定的。
我也欢迎所有关于嵌套组的build议。
谢谢,Markus
听起来你可以用groupOfNames – 这个对象包含一个LDAP专有名称的集合,所以它可以容纳用户和其他组没有问题。 警告是退出会员树(并确保没有周期,或正常处理周期)是您的软件的责任。
我从来没有做过前向引用的事情(我更喜欢上面的“组有这些成员”的方法,而不是“成员在这些组中” – 我的大脑比较容易),但是我的组结构通常是离散的,非嵌套的成员资格,所以我可以忽略一些优点。
OpenLDAP可以在访问控制规则中使用嵌套组,详细解释如下: http : //www.openldap.org/faq/data/cache/1133.html
当使用这个答案中的指示进行设置时,嵌套组也可以用于linuxlogin: 来自ldap的基于dn的linux组
其他应用程序是否使用嵌套组取决于它们。 我知道桑巴做的,而Openfire不 。 我也创build了一组PHP类来允许我们的Intranet应用程序使用嵌套组。 这不是很难 ,只是花了一点时间。