я столкнулся со странной конфигурацией LDAP. Какой-то админ просто создал пользователей как OU в OpenLDAP. Для этого администратор изменил некоторые атрибуты в OU, такие как posixAccount, inetOrgPerson, organizationPerson и person .. Мой вопрос в том, в чем преимущество этого? Он работает, но хотелось бы узнать о его недостатках.
Во-первых, OU (organizationUnit) не имеет объектного класса shadowAccount для истекающих паролей / учетных записей и т. Д.
Если, как и в случае с обычной учетной записью, вы получаете все атрибуты, которые идут с каждым из этих объектных классов: person, organizationPerson, inetOrgPerson, posixAccount, shadowAccount
Они определены в: / etc / openldap / schema /
Вы можете немного подробнее описать свое окружение?
В общем случае вы можете изменить схему по своему усмотрению. Это может быть ou = john, user = john, unicorn = john и т. Д .; но это противоречит условности. Я бы сказал, что админ никому не помог.
Создание пользователей как объектов-контейнеров (при условии, что это действительно произошло, в отличие от изменения атрибута именования с cn = на ou =, что в основном не является событием) имеет некоторые интересные преимущества.
Была система PBX (я думаю, Nortel, но сейчас я не припомню), которая, когда она использовала LDAP для хранения информации о пользователях и телефонах, создавала пользователей как объекты-контейнеры.
Это ломает все виды вещей, но выигрыш в том, что объект User может содержать объекты конфигурации. Это позволяет логическую группировку, отличную от обычной.
Вместо добавления атрибутов для конфигурации или присвоения эквивалентности членству в группе какому-либо объекту конфигурации он позволяет сохранять конфигурацию как объекты.
Я думаю, что у Citrix есть подход, в котором это тоже делается - хранить некоторые персонализированные настройки.