Utilisation des services de noms et d'annuaire Oracle® Solaris 11.2 : LDAP

Quitter la vue de l'impression

Mis à jour : Juillet 2014
 
 

Arborescence d'informations d'annuaire

Le service de noms LDAP utilise une arborescence d'informations d'annuaire (DIT) par défaut pour stocker les informations. L'arborescence DIT elle-même est basée sur un schéma LDAP.

L'arborescence DIT est composée de conteneurs d'informations structurés de façon hiérarchique. La structure suit un schéma LDAP standard décrit dans RFC 2307 et RFC 4876.

La structure par défaut de l'arborescence DIT est suffisante pour l'implémentation de LDAP dans la plupart des configurations de réseau. Avec la structure par défaut, vous devez uniquement déterminer les éléments suivants :

  • Le nom distinctif (DN) du noeud de base de l'arborescence dans lequel le service de noms effectue une recherche d'informations relatives à un domaine spécifique. Les informations du noeud de base sont gérées par l'attribut defaultSearchBase.

  • L'étendue de la recherche effectuée pour une fonctionnalité de consultation du service de noms. Cette étendue peut ne couvrir qu'un seul niveau en dessous du DN ou bien la totalité de la sous-arborescence du DN. Ces informations sont gérées par l'attribut defaultSearchScope

Une arborescence DIT peut également avoir une structure plus complexe pour le stockage des données. Par exemple, les données relatives aux comptes utilisateurs peuvent être stockées dans des emplacements différents de l'arborescence. Vous devez déterminer la façon dont vous souhaitez personnaliser le comportement des opérations de recherche en paramétrant par exemple le DN de base, l'étendue et les filtres à utiliser pour remplacer la séquence de recherche par défaut. Les informations de séquence de recherche personnalisée sont gérées par les attributs serviceSearchDescriptor, attributeMap et objectclassMap. Pour obtenir une explication détaillée de la personnalisation de la séquence de recherche, reportez-vous à la section Descripteurs de recherche de service et mappage de schémas.

Plusieurs serveurs peuvent servir une seule arborescence DIT. Dans une telle configuration, les sous-arborescences de la DIT peuvent être réparties sur plusieurs serveurs. Par conséquent, vous devez configurer plus avant les serveurs LDAP afin de rediriger correctement les demandes de clients vers les serveurs LDAP appropriés qui seront en mesure de fournir les informations demandées. Les informations relatives à la redirection des demandes de clients vers le serveur approprié sont gérées par l'attribut followReferrals.

Il est conseillé d'utiliser un seul serveur LDAP qui fournit les données de noms pour un domaine spécifique. Toutefois, même dans ce scénario, il peut quand même être utile de configurer l'attribut followReferrals. Les références (ou "referrals") permettent de rediriger les clients vers des serveurs de réplique en lecture seule pour la plupart des demandes d'informations. L'accès à un serveur maître pour effectuer des opérations de lecture et d'écriture n'est accordé qu'à titre exceptionnel. Grâce à la configuration des références, vous évitez que le serveur maître ne subisse une surcharge.