ユーザをグループ化するためにOpenLDAPで選択するグループのタイプ

Question

LDAPのユーザをグループ化するためにどのグループを使用すべきかを知る必要があります。

私は基本的にグループメンバシップに基づいていくつかの権限を得るために、MemberOf関数が必要です。

例：

ユーザー - ユーザ1 - ユーザー2 - ユーザ3 グループ - グループ1 - グループ2

ユーザ1はグループ1のメンバーであり、グループ2

グループは、Active Directoryのように動的である必要があります。

Samba: Group Mapping

User Group

Generic: Posix Group

同じ一つは、私が選択する必要があり、ユーザーのために行く：私は選択のためにこれらを持っているので、

質問が来ますか？

Generic: User Account

Samba: Account

私は違いがどのリンクがはるかに理解されるであろう、示されている良いサイトを見つけることができません。

Answer 1

LDAP/X.500は、基が部材が、ユーザオブジェクトはOpenLDAPの中のmemberOf属性はmemberof overlayで達成することができた逆の関係を有する属性オブジェクト定義します。 NDS/eDirとADはこれを魔法によって実現させます。 LDAP固有は、動的双方向メンバー/グループオブジェクト/属性を定義しません。そのオーバーレイに関連して、錯覚を完成するのに役立つオーバーレイ（refint）があります（少なくとも1人のメンバーが常に必要なグループの軽度の刺激の問題にも対処します）。

一般的に2つの興味深いグループタイプが選択されます。groupOfNamesまたはgroupOfUniqueNames、最初の1つはGroupOfNamesです。後者のgroupOfUniqueNamesには少し難解な特徴があります。メンバーDN to contain a numeric UID suffixは、DNを別のエンティティに再割り当てする必要がある場合、時間の経過とともにメンバの一意性を保持できます。どちらの形式でも、メンバーのリストに一意のDNが適用されません。

他のタイプのグループには、異なる目的（スキーマとアプリケーションで定義）があります。あまり一般的でないグループタイプのオブジェクトは、RFC 2256ロール（organizationalRoleタイプ、roleOccupant属性）であり、これは暗黙的にロールベースのアクセス制御に使用されますが、他のグループタイプと似ています（EJP）。

posixGroupタイプは、gidNUmberで示され、memberUid'で示される従来のUNIXグループを表します。これはDITの汎用グループオブジェクトではなく、アプリケーション（つまり、LDAPクライアント層）を実装/監視します。

それはアカウントオブジェクト・タイプはとして排他的と考えるべきではない、ユーザーアカウントに来るとき、それは構造かどうobjectClassは排他的であることができますが、各タイプは、通常、（互換性のある方法でユーザーオブジェクトに属性を追加しますそれは一般的に心配しなければならないことではありません）。