|
静态组
|
通过使用groupOfNames、groupOfUniqueNames或groupOfEntries对象类提供显式的可分辨名称集(DNs)来定义其成员身份。静态组得到了外部客户机的良好支持,并提供了良好的性能。
静态组是其条目包含显式DNs的成员列表的组。许多客户机支持静态组,但随着组中成员数量的增加,静态组很难管理。例如,如果有需要更改DN的成员条目,则必须为该用户所属的每个组更改该用户的DN。
目录服务器支持以下三种类型的静态组,根据它们使用的对象类进行划分:
|
groupOfNames
|
可以通过使用groupOfNames对象类和使用member属性显式指定成员DNs来定义静态组
dn: cn=Example Static Group 1,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfNames
member: uid=user1,ou=People,dc=example,dc=com
member: uid=user2,ou=People,dc=example,dc=com
cn: Example Static Group 1
RFC 4519(https://www.ietf.org/rfc/rfc4519.txt)要求成员属性在groupOfNames对象类中是必需的。当管理员试图删除组中的最后一个成员时,此成员资格要求通常会导致数据管理问题。目录服务器通过允许成员属性是可选的来解决这个问题。可选的成员资格要求允许您在删除组的最后一个成员时拥有空的对象类。
dn: cn=Directory Administrators,ou=Groups,dc=example,dc=com
cn: Directory Administrators
objectclass: top
objectclass: groupOfNames
ou: Groups
member: uid=ttully,ou=People,dc=example,dc=com
member: uid=charvey,ou=People,dc=example,dc=com
member: uid=rfisher,ou=People,dc=example,dc=comldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--defaultAdd --filename static-group1.ldif
Processing ADD request for cn=Directory Administrators,ou=Groups,dc=example,dc=com
ADD operation successful for DN cn=Directory
Administrators,ou=Groups,dc=example,dc=comldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--baseDN dc=example,dc=com "(uid=ttully)" isMemberOf
dn: uid=ttully,ou=People,dc=example,dc=com
isMemberOf: cn=Directory Administrators,ou=Groups,dc=example,dc=com
|
|
groupOfUniqueNames
|
可以通过使用groupOfUniqueNames对象类和使用uniqueMember属性显式指定成员DNs来定义静态组。groupOfUniqueNames对象类与groupOfNames对象类的不同之处在于,可以通过指定唯一DN和可选标识符来枚举组的成员。标识符确保在添加、删除或重命名任何对象时可以标识唯一的对象。
例如,您可以删除或移动一个员工(cn=Tom Smith),然后将一个同名的新员工(cn=Tom Smith)添加到目录中。要区分两者,必须使用位字符串添加单独的标识符。下面的示例显示了两个同名的用户,但第二个uniqueMember有一个可选的标识符。
uniqueMember: uid=tsmith,ou=People,dc=example,dc=com
uniqueMember: uid=tsmith,ou=People,dc=example,dc=com#'0111101'B
很少有LDAP应用程序实际使用可选的UID标识符。
RFC 4519(https://www.ietf.org/rfc/rfc4519.txt)要求在groupOfUniqueNames对象类中uniqueMember属性是必需的。当管理员试图删除组中的最后一个成员时,此成员资格要求曾经导致数据管理问题。Oracle统一目录允许uniqueMember属性是可选的,从而解决了这个问题。可选的成员资格要求允许您在删除组的最后一个成员时拥有空的对象类。
dn: cn=Example Static Group 2,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfUniqueNames
uniqueMember: uid=user1,ou=People,dc=example,dc=com
uniqueMember: uid=user2,ou=People,dc=example,dc=com
cn: Example Static Group 2
dn: cn=Directory Administrators2,ou=Groups,dc=example,dc=com
cn: Directory Administrators2
objectclass: top
objectclass: groupOfUniqueNames
ou: Groups
uniquemember: uid=alangdon,ou=People,dc=example,dc=com
uniquemember: uid=drose,ou=People,dc=example,dc=com
uniquemember: uid=polfield,ou=People,dc=example,dc=comldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--defaultAdd --filename static-group2.ldifldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--baseDN dc=example,dc=com "(uid=rdaugherty)" isMemberOf
dn: uid=alangdon,ou=People,dc=example,dc=com
isMemberOf: cn=Directory Administrators2,ou=Groups,dc=example,dc=com
|
|
groupOfEntries
|
可以使用groupOfEntries对象类定义静态组。基于原始规范(RFC 4519(http://www.rfc-editor.org/rfc/rfc4519.txt)和draft-findlay-ldap-groupofentries-00.txt(2008年3月到期),groupofentries对象类与groupOfNames和groupOfUniqueNames对象类的不同之处在于属性是可选的,它使您能够指定一个没有任何成员的空对象类。
Oracle统一目录支持groupOfEntries草稿,但也允许空groupOfNames和groupOfUniqueNames对象类。因此,您可以创建任何类型的空组(groupOfEntries、groupOfNames和groupOfUniqueNames)。
dn: cn=Example Static Group 3,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfEntries
cn: Example Static Group 3
dn: cn=Directory Administrators3,ou=Groups,dc=example,dc=com
cn: Directory Administrators3
objectclass: top
objectclass: groupOfEntries
ou: Groups
member: uid=bfrancis,ou=People,dc=example,dc=com
member: uid=tjames,ou=People,dc=example,dc=com
member: uid=bparker,ou=People,dc=example,dc=comldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--defaultAdd --filename static-group3.ldifldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--baseDN dc=example,dc=com "(uid=bparker)" isMemberOf
dn: uid=bparker,ou=People,dc=example,dc=com
isMemberOf: cn=Directory Administrators3,ou=Groups,dc=example,dc=com
|
|
|
查看静态组成员方法
|
$ ldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \-b dc=example,dc=com \"(isMemberOf=cn=Accounting Managers,ou=Groups,dc=example,dc=com)"
dn: uid=scarter,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: top
objectClass: organizationalPerson
ou: Accounting
ou: People
sn: Carter
facsimiletelephonenumber: +1 408 555 9751
roomnumber: 4612
userpassword: {SSHA}3KiJ51sx2Ug7DxZoq0vA9ZY6uaomevbJUBm7OA==
l: Sunnyvale
cn: Sam Carter
telephonenumber: +1 408 555 4798
givenname: Sam
uid: scarter
mail: scarter@example.comdn: uid=tmorris,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: top
objectClass: organizationalPerson
ou: Accounting
ou: People
sn: Morris
facsimiletelephonenumber: +1 408 555 8473
roomnumber: 4117
userpassword: {SSHA}bjFFHv6k1kbI6fZoCEfqmTj9XOZxWR06gxpKpQ==
l: Santa Clara
cn: Ted Morris
telephonenumber: +1 408 555 9187
givenname: Ted
uid: tmorris
mail: tmorris@example.com
19.3.1.5 Viewing All Static Groups of Which a User Is a Member
Search using ldapsearch and the virtual attribute cn=IsMemberOf, as shown in the following example:查看用户所属的所有静态组
$ ldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \-b dc=example,dc=com "(uid=scarter)" isMemberOf
dn: uid=scarter,ou=People,dc=example,dc=com
isMemberOf: cn=Accounting Managers,ou=groups,dc=example,dc=com确定用户是否是组的成员
$ ldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \-b "cn=Account Managers,ou=Groups,dc=example,dc=com" \"(&(objectclass=groupOfUniqueNames) \(uniquemember=uid=scarter,ou=People,dc=example,dc=com))"
dn: cn=Accounting Managers,ou=groups,dc=example,dc=com
objectClass: groupOfUniqueNames
objectClass: top
ou: groups
description: People who can manage accounting entries
cn: Accounting Managers
uniquemember: uid=scarter, ou=People, dc=example,dc=com
uniquemember: uid=tmorris, ou=People, dc=example,dc=com
|
|
动态组
|
动态组使用一组LDAP URL形式的搜索条件(使用groupofurl对象类)定义其成员身份。动态组可以很好地处理大量成员(数百万个条目)。随着条目的更新,所有父组都会自动更新。
动态组的一个缺点是不是所有的客户端都支持它们。如果必须查询整个条目列表,性能也会受到不利影响。因此,动态组最适合具有大量条目的组或需要确定条目的特定组成员身份的客户端。
动态组是指其成员资格(而不是在列表中显式维护)由使用LDAP URL的搜索条件确定的组。例如,假设您希望向dc=example,dc=com命名上下文中的所有经理发送电子邮件。为此,创建一个动态组,在其中指定cn=Managers、ou=Groups、dc=example、dc=com。您进一步指定只希望返回电子邮件地址。当电子邮件应用程序查询该特定组的目录时,目录服务器动态计算成员资格并返回相应的电子邮件地址列表。
动态组使用groupOfURL对象类和memberURL属性来定义LDAP URL,其中包含用于确定组成员的条件(搜索基、范围和筛选器)。确定用户是否是动态组的成员的机制是一个常数时间操作,因此对于拥有数百万成员的组,它的效率与对于只有少数成员的组一样高。但是,在指定搜索条件时必须小心,因为如果搜索大量数据,可能会对性能产生不利影响
|
此示例为位于库比蒂诺的员工指定了动态组。
dn: cn=cupertinoEmployees,ou=Groups,dc=example,dc=com
cn: CupertinoEmployees
objectclass: top
objectclass: groupOfURLs
ou: Groups
memberURL: ldap:///ou=People,dc=example,dc=com??sub?(l=Cupertino)
$ ldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--defaultAdd --filename dynamic_group.ldif
Processing ADD request for cn=cupertionEmployees,ou=Groups,dc=example,dc=com
ADD operation successful for DN cn=cupertionEmployees,ou=Groups,dc=example,dc=com
$ ldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \-b "dc=example,dc=com" \
"(isMemberOf=cn=cupertinoEmployees,ou=Groups,dc=example,dc=com)"
dn: uid=abergin,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: top
objectClass: organizationalPerson
ou: Product Testing
ou: People
sn: Bergin
facsimiletelephonenumber: +1 408 555 7472
roomnumber: 3472
userpassword: {SSHA}YcDl0pHLxkd/ouW2jslAk1XaT5SiY4ium5qh8w==
l: Cupertino
cn: Andy Bergin
telephonenumber: +1 408 555 8585
givenname: Andy
uid: abergin
mail: abergin@example.com
...(more entries)...
$ ldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \-b dc=example,dc=com "(uid=abergin)" isMemberOf
dn: uid=abergin,ou=People,dc=example,dc=com
isMemberOf: cn=QA Managers,ou=groups,dc=example,dc=com
isMemberOf: cn=cupertinoEmployees,ou=Groups,dc=example,dc=com
$ ldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \-b dc=example,dc=com \
"(&(uid=abergin)(isMemberOf=cn=cupertinoEmployees,ou=Groups,dc=example,dc=com))"
dn: uid=abergin,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: top
objectClass: organizationalPerson
ou: Product Testing
ou: People
sn: Bergin
facsimiletelephonenumber: +1 408 555 7472
roomnumber: 3472
userpassword: {SSHA}YcDl0pHLxkd/ouW2jslAk1XaT5SiY4ium5qh8w==
l: Cupertino
cn: Andy Bergin
telephonenumber: +1 408 555 8585
givenname: Andy
uid: abergin
mail: abergin@example.com
|
|
|
|
|
|
虚拟静
态组
|
对于外部客户端,虚拟静态组的显示和行为与静态组类似,只是每个成员都由一个虚拟属性表示,该属性根据需要从另一个动态组定义其成员身份。
虚拟静态组允许只能支持静态组的客户端访问动态组。
在虚拟静态组中,通过使用虚拟属性,每个条目的行为类似于静态组条目。虚拟属性在调用时是动态确定的,确定组成员身份的操作被传递给另一个组
虚拟静态组应包括GroupNoNames或GroupOfInQueNames对象类,但不应包含member或uniqueMember属性
。虚拟静态组还应包含ds虚拟静态组辅助对象类和ds目标组dn属性。ds目标组dn属性用于引用要镜像为虚拟静态组的实际组,并用于替代成员或uniquemember属性
dn: cn=Example Virtual Static Group,ou=Groups,dc=example,dc=com
objectClass: top
objectClass: groupOfUniqueNames
objectClass: ds-virtual-static-group
cn: Example Virtual Static Group
ds-target-group-dn: cn=Example Real Group,ou=Groups,dc=example,dc=com
当应用程序以成员资格属性为目标进行搜索,但实际上没有检索到整个成员集时,虚拟静态组的效率最高。应用程序通常使用如下筛选器来尝试确定用户是否是给定组的成员:
(&(objectClass=groupOfUniqueNames)(uniqueMember=uid=john.doe,\ou=People,dc=example,dc=com))
对于检索成员集的应用程序,虚拟静态组可能并不理想,因为构建整个成员列表的过程可能非常昂贵。
|
创建指定组的 LDIF 文件。
此示例文件指定了一个名为虚拟静态组。virtual-static.ldifcupertinoEmployees
dn: cn=virtualStatic,ou=Groups,dc=example,dc=com
cn: Virtual Static
objectclass: top
objectclass: groupOfUniqueNames
objectclass: ds-virtual-static-group
ou: Groups
ds-target-group-dn: cn=cupertinoEmployees,ou=Groups,dc=example,dc=com
通过处理 LDIF 文件来添加组。ldapmodify
$ ldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--defaultAdd --filename virtual-static.ldif
Processing ADD request for cn=virtualStatic,ou=Groups,dc=example,dc=com
ADD operation successful for DN cn=virtualStatic,ou=Groups,dc=example,dc=com
$ ldapsearch -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \-b dc=example,dc=com "(isMemberOf=cn=virtualStatic,ou=Groups,dc=example,dc=com)"dn: cn=virtualStatic,ou=Groups,dc=example,dc=com
objectClass: groupOfUniqueNames
objectClass: ds-virtual-static-group
objectClass: top
cn: Virtual Static
uniqueMember: uid=abergin,ou=People,dc=example,dc=com
ds-target-group-dn: cn=cupertinoEmployees,ou=Groups,dc=example,dc=com
ou: Product Testing
ou: People
sn: Bergin
facsimiletelephonenumber: +1 408 555 7472
roomnumber: 3472
userpassword: {SSHA}YcDl0pHLxkd/ouW2jslAk1XaT5SiY4ium5qh8w==
l: Cupertino
cn: Andy Bergin
telephonenumber: +1 408 555 8585
givenname: Andy
uid: abergin
mail: abergin@example.com
...(more entries)...
|
|
|
嵌套组
|
组可以嵌套,其中一个组定义为子组条目,其DN列在另一个组(其父组)中。组嵌套允许您在性能不是优先级时设置继承的组成员身份。可以将零个或多个成员属性的值设置为嵌套子组(包括静态和动态组)的DNs
此示例过程使用一个静态组和一个动态组创建嵌套组。
创建指定静态组的 LDIF 文件。
此示例文件指定了一个名为虚拟静态组。static-group.ldifDev Contractors
dn: cn=Contractors,ou=Groups,dc=example,dc=com
cn: Dev Contractors
objectclass: top
objectclass: groupOfUniqueNames
ou: Dev Contractors Static Group
uniquemember: uid=wsmith,ou=Contractors,dc=example,dc=com
uniquemember: uid=jstearn,ou=Contractors,dc=example,dc=com
uniquemember: uid=pbrook,ou=Contractors,dc=example,dc=com
uniquemember: uid=njohnson,ou=Contractors,dc=example,dc=com
uniquemember: uid=sjones,ou=Contractors,dc=example,dc=com
通过处理 LDIF 文件来添加组。ldapmodify
$ ldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--defaultAdd --filename static-group.ldif
创建指定动态组的 LDIF 文件。
此示例文件指定了一个名为 动态组。dynamic-group.ldifDevelopers
dn: cn=Developers,ou=Groups,dc=example,dc=com
cn: Developers
objectclass: top
objectclass: groupOfURLs
ou: Groups
memberURL: ldap:///ou=People,dc=example,dc=com??sub?(ou=Product Development)
通过处理 LDIF 文件来添加组。ldapmodify
$ ldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--defaultAdd --filename dynamic-group.ldif
创建指定嵌套静态组的 LDIF 文件。
此示例文件指定了一个名为"嵌套"的组。nested-group.ldifDevelopers Group
dn: cn=DevelopersGroup,ou=Groups,dc=example,dc=com
cn: Developers Group
objectclass: top
objectclass: groupOfUniqueNames
ou: Nested Static Group
uniquemember: cn=Contractors,ou=Groups,dc=example,dc=com
uniquemember: cn=Developers,ou=Groups,dc=example,dc=com
通过处理 LDIF 文件添加组,ldapmodify
$ ldapmodify -h localhost -p 1389 -D "cn=Directory Manager" -j pwd-file \--defaultAdd --filename nested-group.ldif
|
