web-dev-qa-db-ja.com

LDAPでは、グループを組織単位の下にネストするのが最善ですか、それともグループ専用のルートdnのすぐ下に組織単位を作成するのが最善ですか?

各組織単位の下にグループをネストするのが良いのか、グループ専用にルートDNのすぐ下に組織単位を作成するのが良いのかわかりません。一方が他方よりもベストプラクティスと見なされていますか? LDAP対応アプリケーションとの互換性を最大化するために、構成を可能な限りバニラに保ちたいと思います。

私の当面のニーズは次のとおりです。

  1. Atlassian CrowdでのSSO
  2. Google Apps Directory Sync(LDAPグループ->メーリングリスト)
  3. windows認証用のpGina

これが私が考えている2つの戦略を示す図です:

enter image description here

7
Jeff

AD設計ガイダンスによると、構造を設計する際に考慮すべき2つのことがあります。1)管理制御の委任と2)グループポリシーです。

グループポリシーはグループには適用されないため、基本的には1つ、つまり管理制御の委任だけが残ります。モデルBには、各学校で管理タスクのローカル委任を実行するオプションがあります。これは、実装するものである可能性があるため、私が求めていたのはそれです。

グループを、アプリケーショングループ、ポリシーグループ、アクセス許可グループなどのグループタイプごとに個別のOUにさらに分割する例を見てきました。

6
Trondh

単一の学校のメンバーのみを含むすべてのグループを同じOUの下に置き、interSchoolグループのルートに別々のOUを設定するのが最善だと思います。長期的には、ADの管理に役立ちます。

1