認証とデータの保存に OpenLDAP を使用する複数のアプリがあります。複数のアプリケーション (各アプリには独自の DB があります) の DB からこれらの OpenLDAP エンティティへのリンクがかなりあるため、OpenLDAP エンティティを変更するときは、オブジェクトの変更を追跡する必要があります (現在、参照キーとして DN を使用しています)。また、LDAP 内部では、どのユーザーがどのオブジェクトにアクセスできるかなどの参照はほとんどありません。これらのユーザーは非常に具体的なアクセス権を持つことができるため (アクセス権は階層に依存しません)、LDAP もこれらの変更を追跡しないため、これらの参照されたオブジェクトが移動されると、 LDAP と複数の DB の両方でそれらを追跡する必要があります。
私は Linux と OpenLDAP を初めて使用します (Linux で実行しています) が、これはすべて間違った処理方法のように思われ、使用するように設計されていない方法で LDAP を使用しているようです (このように使用するというアイデアは、上級開発者から生まれました)。
私の質問は次のとおりです。
私が説明した方法で LDAP を使用するのに悪いことはありますか。
OpenLDAP スキーマを変更して、使用しているすべてのオブジェクト クラスの GUID のようなものを作成するにはどうすればよいですか。この方法では、少なくとも DN の代わりにオブジェクト GUID を保存でき、変更を追跡する必要はありません。スキーマを変更すると、この GUID で検索とフィルター処理を実行できますか?