设计LDAP目录树.doc

设计LDAP目录树 什么是目录树？它们看起来像什么？选择你的目录的基准DN一个目录树的例子规划你的目录拓扑　　这是为关于LDAP这个话题的一系列文章中的第二篇。这个系列作为一个整体将为带着你从“只是看一下”到配置一个可以应用和服务的目录的LDAP基础集的整个过程。这个系列的其它文章可以在http://www.ldapman.or/articles 上找到。你可以看一下“An Introduction to LDAP”的第一和第二部分，在上也可以找到。什么是目录树？　　简单来说，一个目录树就是一个规定储藏各种不同类型信息的容器的组织方法。你可以把它看做是你的数据的归档系统。　　LDAP目录服务器分层保存着它们的信息，和UNIX的文件系统很像。这些层次规定从逻辑上把一定条目的信息分组（或者划分子组）。这些组在许多情况下很有用：为一个或多个组的数据在其它服务器或站点上授权认证数据复制安全和访问控制可伸缩性　　参考下面这个非常简单的目录树的例子。我将任何无关的信息都拿掉了，这样我们就能够把注意力集中在树的本身。　　在最上层，我们有个root，这是每个目录树的起点。root下面的是两个类别，每个下面还有两个子类别。注意Employees是按照部门分的，Customers是按照地区分的。如何分组是没有限制的。虽然我在这里只是每层显示了两个组，但是如果你需要的话，你的目录里的任何一层里面都可以有许多组。选择你的目录基准DN　　在开始之前，我要说这里没有一种正确的方法来设置目录结构。你选择的设计可能看起来和其它你看到的相似，下次就可能差别很大。你如果想测试你的目录树的设计，这里有个主要的标准：是否有效的适合你当前的和计划的需要？如果是，你就是正确的。　　目录的最顶层，即上面提及得目录树的root，是目录树的基准，也就是所谓的基准标识名（Base Distinguished Name），或者基准DN（base DN）。原则上，你可以选择你的基准DN的格式，我推荐一个当前最流行的格式（你可能需要借这个机会更新对改变基准DN格式的记忆）。　　追溯到1998年，RFC2247把DNS域名编码作为LDAP（和X.500）的标识名的基础。从那时起，越来越多的地方使用这种格式。如果你正在计划整合Microsoft Active Directory，这是你唯一能使用的方法，所以不要为选择操心了――Redmond已经为你做好了这个选择。　　这种格式是非常简单的。让我们假设你的公司的Intenet域名是。RFC2247把这个DNS域名转换为下面的DN：dc=foobar，dc=com　　这个dc指“Domain Component”，注意DNS名字的每个部分都按顺序描述。　　那么你的基准DN是什么呢？假设你公司的Internet域名以.com结尾，你最好的选择是dc=com。如果你的Internet域名以.net结尾，那么基准DN使用dc=net。知道这个方法了吗？如果你公司现在或者将来都不会上网，那你可以选择dc=local。　　在基准DN下面，你就有一个和你DNS域名剩下部分相应的条目。例如，的上几层看起来就像这样：　　让我们假设公司准备与和合并。没问题！感谢你的先知先觉，你的目录结构可以适应在公司命运中的突然变化。你只需要简单的在dc=com下面加入dc=work和dc=gizmo条目。那么你目录的上几层就像这样：一个目录树的例子　　你初始的目录结构越好，以后需要重新修补的就越少。通常来说，你设计你的目录要保证个别的条目不必从一棵树移到另一个棵。你可能会发现一个分布均匀层次较浅的结构工作得最好，树的每个分枝包含的对象根本不太可能移动很多。考虑下面的问题，一个虚构的的目录树。他们花一年时间分阶段铺开他们的LDAP目录，渐渐的基于LADP的服务越来越多。　　注意每个分支是由ou=的形式组成，OU表示Organizational Unit，在以前X.500时，OU被用来描述你的公司的组织结构。你今天所做好的，但是每次公司部门结构改变时，你不得不重新组织你的目录树，为什么要给自己带来额外的工作呢？相反的，foobar采用了简单的途径：他们把工作关系，部门信息，和类似的数据保存在每个雇员的LDAP条目里。他们依然存储了同样的数据，但是少了很多工作。ou=employees　　的所有员工都这里列出。既然随着时间的改变分组方案不可避免要改变，Foobar控制住了任何形式的企图把这个分组方案改变成小组的趋势：人们改变了职位，部门，甚至从一个洲到另一个洲。取而代之，每个员工的位置，部门和公司分配信息都被保存在员工的LDAP条目里，包括email，公共HR信息，和NIS信息。ou＝ITaccounts