Schemat zasobów LDAP

Rozproszona usługa LDAP w sieci akademickiej ma spełniać dwie podstawowe funkcje:

dostarczać użytkownikom książkę adresowo-informacyjną, zawierającą dane dotyczące struktury organizacyjnej jednostek oraz ich pracowników (white pages);
stanowić podstawę dla aplikacji sieciowych w zakresie pozyskiwania informacji o komponentach sprzętowo-programowych sieci komputerowej oraz jej użytkownikach.

Realizacja tych możliwości wiąże się z potrzebą utrzymywania odpowiedniej informacji w zasobach danych serwerów LDAP. Podstawowym problemem jest typ schematu nazewnictwa obiektów oraz przyjęta architektura informacji w globalnym drzewie danych.

LDAP odziedziczył po standardzie X.500 zarówno hierarchiczną strukturę informacji, jak i hierarchiczny sposób nazewnictwa obiektów.
Sposób uporządkowania danych w zasobach LDAP jest bardzo ważny i musi umożliwiać:

rozszerzanie zakresu danych, m.in. gwarantować:
- właściwą organizację danych w przypadku wzrastającej liczby wpisów;
- bezproblemową integrację z globalną usługą katalogową (np. krajową i międzynarodową);
- konsolidację z potrzebami różnych systemów i aplikacji sieciowych;
dostarczenie użytkownikom wygodnych interfejsów do przeszukiwania danych zarówno lokalnych, jak i globalnych;
upraszczenie administrowania danymi poprzez właściwy podział drzewa danych na poddrzewa i rozproszenie administracji;
wprowadzenie elastycznych mechanizmów kontroli dostępu do zasobów danych - łatwych do implementacji oraz administrowania;
zaimplementowanie wygodnych metod prezentacji danych, ich przeglądania poziom po poziomie (browsing).

Nie stworzono jednoznacznych zasad organizacji danych w zasobach LDAP - istnieją jedynie zalecenia. Wskazówki, odnoszące się do usługi katalogowej zorientowanej na potrzeby środowiska akademickiego zostały zamieszczone m.in. w dokumencie A Recipe for Configuring and Operating LDAP Directories
(http://www.georgetown.edu/giia/internet2/ldap-recipe/).

Jedną z popularnych form reprezentacji obiektów w bazie danych jest tworzenie drzewa odzwierciedlającego strukturę organizacyjną jednostek, na wzór rekomendacji zawartych w standardzie X.521 (The Directory: Selected Object Classes). W tym przypadku obiekt jest lokalizowany w globalnym drzewie danych na podstawie informacji określającej jego relację w ramach kraju i instytucji. Na szczycie znajduje się obiekt związany z krajem, poniżej są umieszczane jednostki krajowe, tj. w przypadku środowiska akademickiego uniwersytety, politechniki, akademie itp. Im z kolei są podporządkowane jednostki na poziomie danej instytucji, itd. aż do wpisów końcowych, którymi najczęściej są osoby. O takiej klasyfikacji danych mówi się najczęściej drzewo X.521 lub po prostu nazewnictwo X.521, gdyż następstwem takiego uporządkowania danych są nazwy wyróżnione odzwierciedlające lokalizację obiektu w strukturze organizacyjnej.
W ostatnim czasie coraz popularniejsze jest nazewnictwo domenowe (domain component naming, DC naming)) - obiekty są wówczas lokalizowane w swoich domenach internetowych. Takie podejście ma dwie zasadnicze zalety:

nazwy domenowe są popularnymi nazwami usługi DNS (Domain Name Service) i są powszechnie stosowane;
nazwa domenowa jest unikatowa, dzięki czemu nie jest problemem ustalenie jednoznacznej nazwy obiektu w drzewie danych LDAP.

Poza tym procedury rejestracji nazw domenowych są jednoznacznie zdefiniowane, podczas gdy rejestracja oficjalnej gałęzi organizacyjnej wiąże się na ogół z koniecznością powołania specjalnego organu rejestracyjnego, by była zagwarantowana poprawność i niepowtarzalność nazw. Inną ważną korzyścią wprowadzenia nazewnictwa domenowego jest możliwość naturalnego wykorzystania własności usługi DNS. Dokument RFC 2247, Using Domains in LDAP/X.500 Distinguished Names, definiuje zasady odwzorowywania nazw domenowych na nazwy wyróżnione domenowego drzewa danych LDAP. Podejście domenowe istotnie upraszcza obsługę wzajemnego powiązania serwerów LDAP. Mechanizm gwarantujący współprace wielu serwerów tworzących globalną bazę danych katalogowych może opierać się nie tylko na wywodzącym się z X.500 modelu informacyjnym (knowledge model), zgodnie z którym w zasobach oprócz danych użytkowych są umieszczane dane nazywane odsyłaczami informacyjnymi (knowledge references). Drzewo domenowe umożliwia również wsparcie procesu nawigacji usługą DNS - służą do tego rekordy SRV definiowane w strefach domenowych zgodnie z dokumentem RFC 2782, A DNS RR for specifying the location of services (DNS SRV). Jeśli program kliencki współpracujący z zasobami LDAP zakłada, że serwer obsługuje nazewnictwo domenowe, to w celu lokalizacji tego serwera poszukuje w DNS-ie usługi LDAP opartej na protokole TCP. Szczegółowa procedura postępowania została opisana w dokumencie serii Internet-Draft, Discovering LDAP Services with DNS, w którym przestawiono zasady odwzorowywania nazw domenowych na nazwy wyróżnione stosowane w usługach katalogowych.

Pierwszym zadaniem po podjęciu decyzji o przyjętym uporządkowaniu zasobów katalogowych jest określenie korzenia drzewa danych. Następnie jest projektowana hierarchia poniżej korzenia. Jednym z istotnych zaleceń jest dążenie do możliwie najmniejszych zagłębień struktury - dzięki takiemu podejściu mamy mniej problemów przy przenoszeniu obiektów w ramach jednej instytucji czy domeny. Z drugiej stony zaleca się odzwierciedlanie struktury organizacyjnej czy domenowej, co oznacza na ogół tworzenie wielopoziomowych poddrzew danych. Ważnym aspektem jest konsolidacja struktury hierarchicznej ze sposobem administrowania umieszczanymi danymi, na ogół sprzyja temu wydzielanie poddrzew podporządkowanych konkretnym opiekunom. Również implementacja kontroli dostępu jest prostsza, gdy dane są zestrukturalizowane - można zdefiniować reguły ochrony dla poszczególnych poddrzew danych, nie ma potrzeby określania tych zasad we wpisach dotyczących obiektów.

Zasoby LDAP mają stanowić fragment akademickiego środowiska pracy w sieci komputerowej. Ich zadaniem jest integracja różnych aplikacji, ułatwienie współużytkowania zasobów informacyjnych oraz wspomaganie procesów uwierzytelniania i autoryzacji. Instytucje akademickie mają swoją specyfikę, wspólne problemy, często jest istotne zagwarantowanie dobrej współpracy infrastruktur informatycznych niezależnych jednostek. Dlatego bardzo ważne jest dostarczenie wspólnego schematu danych przechowywanych w zasobach, uwzględniającego specyfikę środowiska.
Większość potrzeb związanych ze schematem zasobów pokrywają zestandaryzowane klasy obiektów i atrybuty, zdefiniwane w rekomendacjach X.500 oraz dokumentach RFC.
Od ponad roku zespoły robocze związane z projektem Internet2, rozwijanym w Stanach Zjednoczonych w kręgach akademickich, opracowują klasę obiektów eduPerson. Obecnie jest dostępna wersja 1.5 specyfikacji, EduPerson Object Class Specification, Version 1.5. Klasa eduPerson, zdefiniowana jako podklasa inetOrgPerson, nie wprowadza żadnych nowych obowiązkowych atrybutów. Definiuje się w niej 8 nowych atrybutów opcjonalnych, wyróżnianych przedrostkiem eduPerson - zostaną one omówione dalej. Klasa ta ma przede wszystkim wspomagać procesy uwierzytelniania i autoryzacji dostępu.
Schemat typowy dla całego środowiska akademickiego zostanie określony w specjalnej klasie obiektów pleduPerson, a także, jeśli będzie to potrzebne, w klasie pleduOrg.

Nazwa klasy	Dokument zawierający definicję	Plik schematu
`person`	dokument ITU Recommendation X.521 (Information technology Open Systems Interconnection The Directory: Selected object classes)	`core.schema`
`organizationalPerson`	dokument ITU Recommendation X.521	`core.schema`
`pkiUser`	dokument RFC 2587 (Internet X.509 Public Key Infrastructure LDAP v2 Schema)	`pki.schema`
`inetOrgPerson`	dokument RFC 2798 (Definition of the inetOrgPerson LDAP Object Class)	`inetorgperson.schema`
`eduPerson`	dokument EduPerson Object Class Specification, Version 1.5, opracowanym przez Internet2 Middleware Architecture Committee Directory Working Group	`eduperson.schema`
`pleduPerson`	defincja w ramach projektu LDAP	`pledu.schema`

Nazwa atrybutu (kolorem czerwonym zaznaczono atyrybuty, które MUSZĄ mieć przypisaną wartość)	Rodzima klasa obiektów	Opis atrybutów
`cn`	`person`	`commonName` - popularna nazwa, typowo o postaci: imię nazwisko lub imię drugie_imię nazwisko lub imię inicjał_drugiego_imienia nazwisko przykłady: cn: Józef Krzyśkowiak cn: Jan K. Kowalski cn: Jan Krzysztof Kowalski
`sn`	`person`	`surname` - nazwisko przykład: sn: Więcławska
`description`	`person`	opis dodatkowy, np. informacje o dodatkowych funkcjach, zainteresowaniach itp. wartość w języku polskim należy przypisywać atrybutowi `description` atrybut `description;lang-en` powinien przenosić tę samą informację w języku angielskim
`seeAlso`	`person`	"patrz również" - odsyłacz do innego wpisu w drzewie danych, zawierającego informację związaną z bieżącymi danymi, wartość ma postać nazwy wyróżnionej; zgodnie ze standardem X.520-2001: "The See Also attribute type specifies names of other Directory objects which may be other aspects (in some sense) of the same real world object." (typ atrybutu zawierający nazwę innego obiektu zasobów katalogowych, będącego w pewnym sensie innym aspektem tego samego obiektu rzeczywistego) przykład: seeAlso: cn=Kierownik Instytutu,ou=Instytut Fizyki,ou=Wydział Fizyki,o=Uniwersytet Śląski,c=PL
`telephoneNumber`	`person`	numer telefonu w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`userPassword`	`person`	hasło wpisu oraz metoda szyfrowania hasła; format: {metoda_szyfrowania}zaszyfrowane_hasło
`userCertificate`	`pkiUser`	certyfikat X.509 użytkownika, zgodnie z RFC 2256 jest przechowywany i pobierany w postaci binarnej, jako atrybut `userCertificate;binary`
`givenName`	`inetOrgperson`	imię, wg RFC 2256: "The givenName attribute is used to hold the part of a person's name which is not their surname nor middle name" (atrybut przeznaczony do przechowywania fragmentu nazwy osoby nie będącego ani nazwiskiem, ani drugim imieniem) przykłady: givenName: Anna givenName: Małgorzata givenName;lang-en: Margaret
`initials`	`inetOrgperson`	inicjały imion, wg RFC 2256: "The initials attribute contains the initials of some or all of an individuals names, but not the surname(s)" (atrybut zawiera inicjały niektóych lub wszystkich imion osoby, ale nie inicjały nazwisk) przykład: initials: M.J.
`displayName`	`inetOrgperson`	preferowana nazwa stosowana do wyświetlania informacji o obiekcie atrybut ten w zależności od przypisanej wartości może zawierać podtyp `lang-en`, np. displayName: Ela Więcławska displayName;lang-en: John Kowalski
`title`	`organizationalPerson`	pozycja, funkcja przypisana danej osobie (zgodnie z X.520-2001) przykład: title: Zastępca Dyrektora d/s Technicznych title;lang-en: Vice-Deputy
`facsimileTelephoneNumber`	`organizationalPerson`	numer faxu w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`street`	`organizationalPerson`	adres, nazwa ulicy, numer bloku, mieszkania
`postalCode`	`organizationalPerson`	kod pocztowy, jeśli ten atrybut jest zdefiniowany, to jego wartość powinna być częścią pełnego adresu (`postalAddress`)
`postalAddress`	`organizationalPerson`	adres służbowy umożliwiający dostarczenie przesyłki pocztowej; format: nazwa_i_numer_ulicy_i_mieszkania $ nazwa_miasta $ kraj przykład: postalAddress: Łódzka 2/4 $ 87-100 Toruń postalAddress;lang-en: Lodzka 2/4 $ 87-100 Torun $ Poland
`l`	`organizationalPerson`	`locality` - miejscowość, województwo lub nazwa regionu przykład: l: Kraków
`ou`	`inetOrgPerson`	`organizationalUnit` - nazwa wyróżniona jednostki organizacyjnej instytucji, do której należy obiekt przykład: ou: ou=Biuro Rektora, o=Uniwersytet Śląski, c=PL
`o`	`inetOrgPerson`	`organization` - nazwa wyróżniona instytucji, do której należy obiekt przykład: o: o=Uniwersytet Śląski, c=PL
`roomNumber`	`inetOrgPerson`	numer pokoju
`departmentNumber`	`inetOrgPerson`	numer identyfikujący dział, wydział w ramach instytucji
`uid`	`inetOrgPerson`	`userid` - zgodnie z RFC 1274: "The [uid] attribute type specifies a computer system login name." (atrybut uid określa nazwę użytkownika w systemie komputerowym)
`employeeType`	`inetOrgPerson`	rodzaj pracownika, np. 'pracownik czasowy', 'pół etatu'
`employeeNumer`	`inetOrgPerson`	numer ewidencyjny pracownika, identyfikator numeryczny lub alfanumeryczny
`preferredLanguage`	`inetOrgPerson`	zgodnie z RFC 2798 preferowany język korespondencji i rozmowy, wartość atrybutu musi odpowiadać definicjom w RFC 2068 i w standardzie ISO 639 przykład: preferredLanguage: en
`userSMIMECertificate`	`inetOrgPerson`	certyfikat X.509 przeznaczony wyłącznie dla aplikacji S/MIME, zgodnie z RFC 2798, jeśli atrybut `userSMIMECertificate` ma przypisaną wartość, to jest używany, zamiast atrybutu `userCertificate`, przez aplikacje S/MIME, jest przechowywany i pobierany w postaci binarnej, jako atrybut `userSSMIMECertificate;binary`
`homepostalAddress`	`inetOrgPerson`	adres domowy, zgodnie z RFC 1274 - maksymalnie 6 wierszy po 30 znaków (nowy wiersz jest zaznaczany za pomocą znaku $)
`homePhone`	`inetOrgPerson`	telefon domowy w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`mobile`	`inetOrgPerson`	numer telefonu komórkowego w międzynarodowym formacie +48 yyyyyyyyyy yyyyyyyyyy to numer w ramach kraju
`mail`	`inetOrgPerson`	adres mailowy o formacie określonym w RFC 822 w RFC 1274 wprowadzono dłuższą nazwę atrbutu: `rfc822Mailbox`, któa jest obecnie równoważna atrybutowi `mail`
`audio`	`inetOrgPerson`	dane dźwiekowe związane z obiektem, atrybut nie jest jasno zdefiniowany, brakuje standardu wartości atrybutu
`jpegPhoto`	`inetOrgPerson`	zdjęcie lub zdjęcia osoby w formacie JPEG File Interchange Format
`manager`	`inetOrgPerson`	wyróżniona nazwa wpisu w drzewie danych reprezentującego kierownika danej osoby przykład: manager: cn=Rektor, o=Uniwersytet Śląski, c=PL
`secretary`	`inetOrgPerson`	wyróżniona nazwa wpisu w drzewie danych reprezentującego sekretarkę danej osoby przykład: secretary: cn=Kierownik, ou=Biuro Rektora, o=Uniwersytet Śląski, c=PL
`labeledURI`	`inetOrgPerson`	zgodnie z RFC 2079 jest to identyfikator URI Uniform Resource Identifier), któremu opcjonalnie może towarzyszyć etykieta przykład: labeledURI: http://ldap.uni.torun.pl Strona projektu LDAP
`eduPersonOrgUnitDN`	`eduPerson`	wyróżniona nazwa wpisu reprezentującego jednostkę organizacyjną instytucji, w której jest zatrudniona dana osoba przykład: eduPersonOrgUnitDN: ou=Biuro Rektora, o=Uniwersytet Śląski, c=PL
`eduPersonOrgDN`	`eduPerson`	wyróżniona nazwa wpisu w zasobach katalogowych reprezentującego instytucję, w której jest zatrudniona dana osoba przykład: eduPersonOrgDN: o=Uniwersytet Śląski, c=PL
`eduPersonPrimaryOrgUnitDN`	`eduPerson`	wyróżniona nazwa wpisu w zasobach katalogowych reprezentującego podstawową instytucję, w której jest zatrudniona dana osoba
`eduPersonPrincipalName`	`eduPerson`	tzw. identyfikator sieciowy (NetId) osoby, m.in. może być stosowany do uwierzytelnienia w kontaktach między różnymi instytucjami, zapamiętywany w postaci user@n.uni.edu.pl; n.uni.edu.pl to nazwa lokalnej domeny bezpieczeństwa wartość atrybutu musi być niepowtarzalna
`eduPersonNickname`	`eduPerson`	popularne formy imienia osoby, przezwiska, przydomki
`eduPersonAffiliation`	`eduPerson`	przynależność wg klasyfikacji stosowanej przez instytucje, np. student, personel, grono profesorskie, osoby afiliowane jeśli atrybut `eduPersonPrimaryAffiliation` jest określony, to jego wartość powinna być umieszczona również w tym atrybucie; wartości atrybutu muszą być kontrolowane za pomocą specjalnego słownika dozwolonych nazw; na podstawie tych wartości mogą być ustalane uprawnienia w aplikacjach sieciowych
`eduPersonPrimaryAffiliation`	`eduPerson`	podstawowa, priorytetowa przynależność osoby, wg ustalonej klasyfikacji
`eduPersonEntitlement`	`eduPerson`	URI (Universal Resource Identifier) wskazujący zestaw uprawnień do konkretnych zasobów, np. URL kontraktu dotyczącego licencjonowanego oprogramowania
`personalTitle`	`pleduPerson`	tytuł zawodowy lub naukowy osoby, np. mgr, dr, prof. polskie tytuły są przechowywane w atrybucie `personalTitle`
`plposition`	`pleduPerson`	stanowisko służbowe osoby, np. programista, referent, profesor nadzwyczajny
`uniident`	`pleduPerson`	numer identyfikacyjny osoby (np. wg. systemu kadrowego)

Nazwa klasy	Dokument zawierający definicję	Plik schematu
`person`	dokument ITU Recommendation X.521 (Information technology Open Systems Interconnection The Directory: Selected object classes)	`core.schema`
`organizationalRole`	dokument ITU Recommendation X.521 (Information technology Open Systems Interconnection The Directory: Selected object classes)	`core.schema`
`pleduOrganizationalRole`	defincja w ramach projektu LDAP	`pledu.schema`

Nazwa atrybutu (kolorem czerwonym zaznaczono atyrybuty, które MUSZĄ mieć przypisaną wartość)	Rodzima klasa obiektów	Opis atrybutów
`cn`	`person`	`commonName` - popularna nazwa, określająca nazwę funkcji: przykłady: cn: Dyrektor Administracyjny cn: Kierownik przykład: cn: Dyrektor d/s Międzynarodowych
`roleOccupant`	`organizationalRole`	wyróżniona nazwa reprezentująca wpis dotyczący osoby pełniącej daną funkcję
`seeAlso`	`person`	"patrz również" - odsyłacz do innego wpisu w drzewie danych, zawierającego informację związaną z bieżącymi danymi, wartość ma postać nazwy wyróżnionej
`telephoneNumber`	`person`	numer telefonu w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`facsimileTelephoneNumber`	`organizationalPerson`	numer faxu w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`street`	`organizationalPerson`	adres, nazwa ulicy, numer bloku, mieszkania
`postalCode`	`organizationalPerson`	kod pocztowy, jeśli ten atrybut jest zdefiniowany, to jego wartość powinna być częścią pełnego adresu (`postalAddress`)
`postalAddress`	`organizationalPerson`	adres służbowy umożliwiający dostarczenie przesyłki pocztowej
`l`	`organizationalPerson`	`locality` - miejscowość, województwo lub nazwa regionu
`ou`	`organizationalPerson`	`organizationalUnit` - nazwa wyróżniona jednostki organizacyjnej instytucji, do której należy obiekt
`displayName`	`pleduOrganizationalRole`	preferowana nazwa stosowana do wyświetlania informacji o obiekcie
`mail`	`pleduOrganizationalRole`	e-mail do osoby pełniącej funkcję
`roomNumber`	`pleduOrganizationalRole`	pokój, w którym urzeduje osoba pełniąca funkcję

Nazwa klasy	Dokument zawierający definicję	Plik schematu
`organizationalUnit`	dokument ITU Recommendation X.521 (Information technology Open Systems Interconnection The Directory: Selected object classes)	`core.schema`
`pleduOrg`	definicja w ramach projektu LDAP	`pledu.schema`

Nazwa atrybutu (kolorem czerwonym zaznaczono atyrybuty, które MUSZĄ mieć przypisaną wartość)	Rodzima klasa obiektów	Opis atrybutów
`ou`	`organizationalUnit`	`organizationalUnitName` - popularna nazwa, określająca nazwę jednostki organizacyjnej: przykład: ou: Centrum Promocji i Rozwoju przykłady: ou: Wydział Inżynierii Środowiska ou;lang-en: Engineering Faculty
`seeAlso`	`-`	"patrz również" - odsyłacz do innego wpisu w drzewie danych, zawierającego informację związaną z bieżącymi danymi, wartość ma postać nazwy wyróżnionej
`telephoneNumber`	`-`	numer telefonu w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`facsimileTelephoneNumber`	`-`	numer faxu w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`street`	`-`	adres, nazwa ulicy, numer bloku, mieszkania
`postalCode`	`-`	kod pocztowy, jeśli ten atrybut jest zdefiniowany, to jego wartość powinna być częścią pełnego adresu (`postalAddress`)
`postalAddress`	`-`	adres służbowy umożliwiający dostarczenie przesyłki pocztowej
`l`	`-`	`locality` - miejscowość, województwo lub nazwa regionu
`ou`	`-`	`organizationalUnit` - nazwa wyróżniona jednostki organizacyjnej instytucji, do której należy obiekt
`eduOrgHomePageURI`	`eduOrg`	strona WWW jednostki
`associatedDomain`	`pleduOrg`	nazwa domeny związanej z daną jednostką organizacyjną
`uniorgident`	`pleduOrg`	identyfikator jednostki
`displayName`	`pleduOrg`	popularna nazwa jednostki organizacyjnej
`mail`	`pleduOrg`	adres e-mail jednostki organizacyjnej

Nazwa klasy	Dokument zawierający definicję	Plik schematu
`organization`	dokument ITU Recommendation X.521 (Information technology Open Systems Interconnection The Directory: Selected object classes)	`core.schema`
`pleduOrg`	definicja w ramach projektu LDAP	`pledu.schema`

Nazwa atrybutu (kolorem czerwonym zaznaczono atyrybuty, które MUSZĄ mieć przypisaną wartość)	Rodzima klasa obiektów	Opis atrybutów
`o`	`organization`	`organizationName` - popularna nazwa, określająca nazwę instytucji: przykład: o: Uniwersytet Warszawski przykłady: o: Uniwersytet Śląski o;lang-en: University of Warsaw
`seeAlso`	`-`	"patrz również" - odsyłacz do innego wpisu w drzewie danych, zawierającego informację związaną z bieżącymi danymi, wartość ma postać nazwy wyróżnionej
`telephoneNumber`	`-`	numer telefonu w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`facsimileTelephoneNumber`	`-`	numer faxu w formacie +48 xx-yyyyyy xx to numer kierunkowy miasta, yyyyyy to numer lokalny
`street`	`-`	adres, nazwa ulicy, numer bloku, mieszkania
`postalCode`	`-`	kod pocztowy, jeśli ten atrybut jest zdefiniowany, to jego wartość powinna być częścią pełnego adresu (`postalAddress`)
`postalAddress`	`-`	adres służbowy umożliwiający dostarczenie przesyłki pocztowej
`l`	`-`	`locality` - miejscowość, województwo lub nazwa regionu
`ou`	`-`	`organizationalUnit` - nazwa wyróżniona jednostki organizacyjnej instytucji, do której należy obiekt
`eduOrgHomePageURI`	`eduOrg`	strona WWW jednostki
`associatedDomain`	`pleduOrg`	nazwa domeny związanej z daną jednostką organizacyjną
`uniorgident`	`pleduOrg`	identyfikator jednostki
`displayName`	`pleduOrg`	popularna nazwa jednostki organizacyjnej
`mail`	`pleduOrg`	adres e-mail jednostki organizacyjnej

a. Wpisy dotyczące użytkowników

Obowiązkowe klasy obiektów

Nazwa klasy Dokument zawierający definicję Plik schematu
posixAccount dokument RFC 2307, An Approach for Using LDAP as a Network Information Service nis.schema
sambaAccount dokument Samba 2.2.x ldap schemas samba.schema

Wykaz atrybutów stosowanych do reprezentacji użytkowników

Nazwa atrybutu
(kolorem czerwonym zaznaczono atyrybuty, które MUSZĄ mieć przypisaną wartość) Rodzima klasa obiektów Opis atrybutów
cn - nazwa użytkownika w postaci imię nazwisko
uid posixAccount identyfikator użytkownika, nazwa do 8 znaków (nazwa logowania)
uidNumber posixAccount numeryczny identyfikator użytkownika w systemie
gidNumber posixAccount numeryczny identyfikator grupy danego użytkownika w systemie
homeDirectory posixAccount nazwa katalogu domowego użytkownika
userPassword posixAccount hasło użytkownika
loginShell posixAccount shell użytkownika
gecos posixAccount informacja dodatkowa o użytkowniku, wyświetlana m.in. przez polecenie finger
description - dodatkowy opis dotyczący użytkownika
rid sambaAccount relatywny identyfikator liczbowy
lmPassword sambaAccount hasło w konwencji LANMAN - 16B zapamiętanych jako znakowa reprezentacja napisu szesnastkowego
ntPassword sambaAccount hasło w systemie Windows NT - 16B zapamiętanych jako znakowa reprezentacja napisu szesnastkowego
pwdLastSet sambaAccount wskazuje ostatnie ustawienie hasła NT przez użytkownika, wartość reprezentowana jako liczba całkowita, będąca liczbą sekund od 1 stycznia 1970, godz. 00:00:00; może być używana do ustalenia ważności konta
logonTime sambaAccount wartość całkowita przedstawiająca czas ostatniego zalogowania (liczba sekund od 1 stycznia 1970, godz. 00:00:00)
logoffTime sambaAccount wartość całkowita przedstawiająca czas ostatniego wylogowania (liczba sekund od 1 stycznia 1970, godz. 00:00:00)
kickoffTime sambaAccount wartość całkowita przedstawiająca czas, w którym użytkownik zostanie poinformowany, że zostanie wylogowany (czas podany jako liczba sekund od 1 stycznia 1970, godz. 00:00:00)
pwdCanChange sambaAccount wartość całkowita równa 1 lub 0 określająca, hasło może zostać zmienione (1), czy nie (0)
pwdMustChange sambaAccount wartość całkowita równa 1 lub 0 określająca, hasło musi zostać zmienione (1), czy nie (0)
acctFlags sambaAccount napis składający się z 11 znaków, ujęty w nawiasy kwadratowe [], reprezentujący sygnalizatory stosowane dla konta: U (użytkownik), W (stacja robocza), X (bez przedawniania hasła), D (konto nieaktywne)
displayName inetOrgPerson nazwa użytkownika (imię i nazwisko)
smbHome sambaAccount pełna ścieżka do katalogu domowego użytkownika; napis może być pusty; jeśli została jednocześnie określona wartość atrybutu homeDrive i jest literą reprezentującą napęd, to wartość homeDirectory musi być podana jako ścieżka UNC (Universal Naming Convention), tzn. w postaci \\server\share\directory.
homeDrive sambaAccount określa literę napędu, w odniesieniu do którego jest odwzorowywana ścieżka UNC podana w atrybucie homeDirectory
scriptPath sambaAccount określa ścieżkę do skryptu realizującego logowanie użytkownikai, tj. plik .cmd, .exe lub .bat (wartość traktowana względnie do współudziału netlogon); wartość może być pusta
profilePath sambaAccount określa ścieżkę do profilu użytkownika; wartość może być pusta, może być absolutną ścieżką lokalną lub ścieżką UNC
description - dodatkowy opis
userWorkstations sambaAccount jednowartościowy atrybut zawierający nazwy typu NetBIOS tych komputerów pracujących pod systemem Windows NT/2000, na które użytkownik może się zalogować; nazwy są oddzielone przecinkami
primaryGroupID sambaAccount jednowartościowy atrybut zawierający relatywny identyfikator RID podstawowej grupy danego użytkownika
domain sambaAccount domena użytkownika

Nazwa klasy	Dokument zawierający definicję	Plik schematu
`dcObject`	dokument ITU Recommendation X.521 (Information technology Open Systems Interconnection The Directory: Selected object classes)	`core.schema`

Nazwa atrybutu (kolorem czerwonym zaznaczono atyrybuty, które MUSZĄ mieć przypisaną wartość)	Rodzima klasa obiektów	Opis atrybutów
`dc`	`-`	nazwa domeny

Propozycja schematu zasobów LDAP zalecanego w projekcie LDAP

Spis treści