Hallo LDAP Freunde und LDAP Hasser, hauptsache LDAP Erfahrene,

ich bin mitten in der Entwicklung eines größeren Email Systems und die zentrale Ablage der Konfigurationsdaten (z.B. Emailaccounts) passiert in LDAP. Ich muss nun eine strategisch wichtige Entscheidung treffen und wollte daher mal eure Meinung dazu hören bzw. an eurer Erfahrung teilhaben.

Die Daten in LDAP sind ja in Form eines (Verzeichnis-)Baumes abgelegt. Dabei ist es auch möglich mehrere Bäume mit jeweils einer Wurzel (root_dn) anzulegen. Sollte ich das tun oder lieber meine Bäume durch eine Pseudowurzel zu einem Baum zusammenfassen?

Hier das ganze nochmal in Form eines Beispiels.
Für mein Emailsystem bietet sich die Domainstruktur als Baum an. Alternative eins wäre also:

dc=de
objectClass=Domain

dc=internetfreaks,dc=de
   objectClass=Domain

uid=cruz,dc=internetfreaks,dc=de
      objectClass=Mailbox

Und für die .com tld:

dc=com
objectClass=Domain

dc=internetnerds,dc=com
   objectClass=Domain

uid=cruz,dc=internetnerds,dc=com
      objectClass=Mailbox

Das sind also zwei sauber getrennte Bäume, wobei ich dann in jeder Anwendung, mit der ich auf LDAP zugreife _ZWEI_ root_dn konfigurieren muss.

Die zweite Alternative wäre:

ou=root
objectClass=pseudoRoot

dc=de,ou=root
objectClass=Domain

dc=internetfreaks,dc=de,ou=root
   objectClass=Domain

uid=cruz,dc=internetfreaks,dc=de,ou=root
      objectClass=Mailbox

dc=com,ou=root
objectClass=Domain

dc=internetfreaks,dc=com,ou=root
   objectClass=Domain

uid=cruz,dc=internetfreaks,dc=com,ou=root
      objectClass=Mailbox

Das wäre dann nur noch ein zusammengefasster Baum, wobei ich nur noch ein root_dn angeben muss, nämlich ou=root. Dafür muss ich aber an jeder spezifischen Stelle, wo ich eine Abfrage an LDAP starte oder Daten einpflege darauf achten, dass die Pseudowurzel berücksichtigt wird. Das ist im Grunde ja kein Problem ist, vielleicht nur etwas erklärungsbedürftig wenn sich mal einer wundert "häh, wraum muss das da sein?".

Also was meint ihr? Tor 1 oder Tor 2?

Gruß,
Cruz