Структура LDAP: dc = приклад, dc = com vs o = Example

Я відносно новий в LDAP і бачив два типи прикладів, як налаштувати свою структуру.

Один з методів - мати базове буття: в dc=example,dc=comтой час як інші приклади мають базове буття o=Example. Продовжуючи далі, ви можете створити групу, схожу на:

    dn: cn = команда, ou = група, dc = приклад, dc = com
    cn: команда
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

... або використовуючи стиль "O":

    dn: cn = команда, o = Приклад
    objectClass: posixGroup
    memberUid: user1
    memberUid: user2

Мої запитання:

1. Чи є найкращі практики, які диктують використання одного методу над іншим?
2. Це лише питання переваги, який стиль ви використовуєте?
3. Чи є якісь переваги використання одного над іншим?
4. Чи один метод - старий стиль, а один - нова та вдосконалена версія?

Поки що я пішов зі dc=example,dc=comстилем. Будемо дуже вдячні за будь-які поради, які громада могла б дати з цього приводу.

dcСтиль зазвичай вказує на DNS на основі LDAP дерево свого роду. Це стиль, який використовує Active Directory (AD). Якщо ви не переймаєтесь деревами LDAP на основі dns, то інші типи можна використовувати просто чудово. EDirectory Novell - це Oзасноване дерево. Деякі застереження:

• DC-стиль - це те, що використовує AD. Багато продуктів сторонніх виробників, які підтримують джерела AD LDAP, подібні до цього стилю дерева, набагато краще, ніж Oзасновані дерева. У мене виникли проблеми з тим, щоб ці клієнти спілкувалися з деревами LDAP у стилі O.
• AD взагалі не використовує O, тому деякі клієнти / парсери LDAP можуть не підтримувати його. Те саме стосується L(розташування).
• Якщо ви не DNS-коріння свого дерева, стиль DC є набагато менш важливим
• Гібридні стилі просто чудові. Ваш корінь LDAP є dc=example,dc=com, і ви використовуєте дерево в стилі O. DN може дуже добре бути,cn=bobs,ou=users,o=company,dc=example,dc=com

Загалом, ваша потреба бути сумісною з стороннім клієнтом LDAP - це те, що повинно керувати вашою структурою. Якщо йому потрібен діалект, він, ймовірно, повинен виглядати якомога активнішим каталогу. Якщо вони чисті клієнти LDAP, оскільки вони дійсно підтримують всю специфікацію, то структура не має значення.

Я не знаю жодних стандартів структури дерев ldap, але я впевнений, що інші підкажуть, якщо такі є.