Выбор RDN для новых объектных классов в LDAP?

Question

Каковы оптимальные методы выбора RDN при создании новых объектных классов в LDAP? Я знаю, что вы можете выбрать uid, cn, ou и т. Д., Но какую практику следует соблюдать?

Answer 1

RDN по сути (часть) вашего первичного ключа. Применяются те же принципы:

• Что-то уникальное в записи (или комбинации вещей).
• То, что не меняется (или меняется не очень часто).

Answer 2

При использовании OpenLDAP вы можете выбрать любой атрибут в качестве RDB, который разрешен для объекта (в соответствии с его objectClasses), но в ActiveDirectory атрибут RDN определен в соответствующей схеме - поэтому у вас нет выбор при использовании предопределенных классов.

Если у вас есть выбор (используя OpenLDAP или собственную схему в ActiveDirectory), я бы предложил использовать RDN, которое эффективно идентифицирует основную запись (естественно, ваше RDN должно быть уникальным в дочерних элементах данного поддерева). OpenLDAP также позволяет использовать многозначные RDN, если вы определите, что одного RDN-атрибута недостаточно для однозначной идентификации данной записи:

cn=Robert Smith+uid=rsmith,ou=people,dc=example,dc=com

Answer 3

Возможно, было бы более разумно использовать один из предопределенных объектных классов вместо создания нового. Здесь - список часто используемых производных классов.