我的任务是创建一个通用的 LDAP 接口来查询组和用户。我们正在针对 Active Directory 进行初步测试,但我想到 LDAP 只是一种查询目录数据库的方法。任何目录服务(AD、Novell 等)返回的实际字段可能不同。
例如,如果我通过 LDAP 查询组或用户,我返回的字段之一是 objectGUID,如果我在后续请求单个对象中使用该值,则该字段用于唯一标识 LDAP 记录。AD返回的其他字段还有cn、distinguishedName等。
任何提供 LDAP 接口的目录服务会使用所有相同的字段吗?还是每个字段都依赖于通过 LDAP 查询的服务?
它完全取决于 LDAP 服务器中定义的模式。某些 objectClass 的属性也可能因服务器而异。
例如:在 Novell 中,'groupOfUniqueNames' objectClass 具有 'member' 属性来存储其子级,而相同的 'groupOfUniqueNames' objectClass 具有 'uniqueMember' 属性来将其子级存储在 openDJ 服务器中。
更多的 LDAP 服务器可以使用 'groupOfNames' objectClass 而不是 'groupOfUniqueNames' 组。所以它完全取决于为该 LDAP 服务器定义的模式。