Что такое хороший объектный класс Ldap для хранения пользователя и его членства

Question

Я пытаюсь создать схему Ldap для наших пользователей и групп (используя ApacheDS, но это не имеет значения)

В настоящее время у меня есть что-то вроде этого

 (dc=company, dc=com)
   - ou : groups
      - GroupOfNames: cn=users
          -GON: cn subgroup A
              * member : uid = user1
      - GroupOfNames: cn=Admins
              * member : uid=admin

   - ou : users
       - InetOrgePerson uid="admin"
       - InetOrgePerson uid="user1"

Теперь проблемая пытаюсь подключить портал, чтобы использовать эту схему для аутентификации / членства в группах.

Портал хочет, чтобы «пользователь» «знал» группы, в которые входит (что, вероятно, более эффективно)

Так что мне нужно иметь что-то вроде

- InetOrgePerson uid="admin"
    * memberOf : "cn=admin,cn=groups,cd=company,dc=com"

Но inetOrgPerson не допускает какого-либо атрибута memberOf .... поэтому мой вопрос:

Что за LdapКласс объекта можно использовать вместо inetOrgPerson, который разрешил бы атрибут memberof.

Answer 1

InetOrgPerson.Вам не нужен атрибут memberOf.Просто выполните поиск атрибута 'member' GroupOfNames.Вот как это обычно делается.

Answer 2

Ну, сервер имеет значение. Поскольку не существует стандарта для получения членства в группе в записи пользователей.

Я не знаю, поддерживает ли Apache DS атрибут "memberOf". OpenDJ (opendj.org) или OpenDS, SunDSEE поддерживают его через атрибут «isMemberOf» (и могут быть настроены для возврата любого имени).

isMemberOf (или memberOf) является операционным атрибутом и поэтому должен быть явно запрошен в поисковом запросе.