当管理层要推出一个横跨各种IT环境的强大的身份识别系统时，安全管理员将面临制定一个深入到多种目录的有效的身份识别计划的挑战。这些目录包括LDAP、微软的活动目录和Novell NDS等。在本期应用技巧中，我们将考察采用一个庞大的战略的身份识别计划并且战术性地实施这个计划，检验如下问题，如多种LDAP企业目录的益处、在目录级使用组策略以及使用分层次的组来最好地控制内部和外部接入。

　　LDAP目录

　　LDAP(轻型目录访问协议)在企业中的应用是非常普遍的。工程人员通常要问的第一个问题是，“我们应该创建一个以上的LDAP目录吗?”虽然单个目录对请求的回应会更快一些，但是，普通的做法是有几个目录结构。例如，“你应该有企业LDAP目录”而且这个目录要与几个子目录一起工作。第一个和最普通的做法是广泛的目录。这个目录向外部世界发布内部的ID或者向内部发布外部商业合作伙伴的ID，或者这两项工作全做。接下来是具体应用的目录，是为具体的应用程序使用优化的。许多大型企业拥有现有的具体操作系统的目录，例如Novell和微软。这些目录位于根据LDAP目录创建的一个“操作系统”子目录中。最后，一个大型企业也许部署几个小的机构部门或者部门的目录提供几个具体的部门的功能。

　　LDAP可以当作伞状目录或者元目录结构，也可以位于伞状目录或者元目录结构之下。元目录也就是目录的目录。元目录一般使用注册表。注册表将存储识别符(用户、组...)并且使这些识别符保持一致。这些目录本身拥有存储在注册表中的全部项目的额外信息。目前的大多数元目录产品都包括一个最终用户注册服务。

　　LDAP应用

　　当应用LDAP结构时，有几点需要考虑。第一，让人员数据库空间尽可能一致。如果完全一致是不可能的，用户ID在整个结构中应该仍然是惟一的，这样转移用户ID不会有风险。然而，虽然一致性有助于目录的管理，但是，这种做法限制了继承的使用和组策略对象的使用。最后，强烈建议考虑使用LDAP链接。这是中央目录把客户请求发送到分布式目录的能力。这还有助于LDAPv2客户发现分布式信息和允许安全穿过防火墙。

　　存储组信息

　　总的来说，我们把存储组信息看作是组是如何使用的。一般来说，这分为两个物理阵营:动态组和静态组。动态组包括作为个人模式属性的若干个组，通常是采用一个LDAP搜索URL地址创建的。静态组是在整个目录层次中创建的一个单独的入口，并且根据属性存储组成员。这两种方法为变化的活动提供了好处，如确定成员或者组的创建。无论你选择什么，你要一直密切注意这些组可能对目录性能产生的影响。

　　总的来说，组应该与用户账户存储在同一个名称空间。但是，这种方法的缺点是有可能耗尽名称空间的名称。因此，另一种可能性是通过把最终用户名称与具体组的标签联系在一起的方法组建组名称，然后集中创建和管理更常用的组。

　　使用分层的组

　　使用分层的组来控制用户接入的最佳做法通常要求你:

　　·尽可能保持组结构的简单化。

　　·不要把组放在超过十层深的位置。

　　·把组的数量保持到最小。

　　·通过“向下流动”的过滤对各个组应用组策略。在接近最高位置的组制定策略，并且允许它把这个策略移交到下面的组(而不是在各个层分别设置这种控制)。

　　·不要简单地在运行中快速删除和重新建立组，因为每一个组的识别符号都是惟一的，这将给同步造成噩梦。

　　因此，总的说来，采用一个“大的计划”并让这个计划适合你的企业是可能的。当然，如果战略家们在计划确定之前邀请工程师参加计划会议。对这个计划过程将有很大的帮助。好好看一下你的企业中使用LDAP的情况，正确地使用组策略和分层次的组来创建一个有效率的身份识别架构。