Pytanie dotyczące układu LDAP

Jestem nowy w LDAP i tylko próbuję się nauczyć. Używam openldap na Debianie.
Czy ktoś może to wyjaśnić - lub ewentualnie wskazać mi link, który wyjaśnia te podstawowe pojęcia?
Powiedzmy, że mam następującą sytuację, którą chcę przedstawić w ldap
Prowadzę firmę. Firma sprzedaje serwery, które są instalowane w witrynach klientów. Firma sprzedaje niektóre serwery bezpośrednio, a inne za pośrednictwem odsprzedawców. Firma posiada scentralizowane narzędzie administracyjne, które może zarządzać wszystkimi serwerami klientów. Chcę mieć inne prawa dostępu, gdy ktoś loguje się do serwera.
Istnieją 3 poziomy uprawnień P1, P2 i P3.
istnieją loginy dla pracowników firmy, sprzedawców, a także dla pracowników klientów.
Dostęp każdego pracownika będzie zależał od tego, kto jest pracownikiem - Moi pracownicy będą mieli dostęp do wszystkich serwerów - Pracownicy sprzedawcy będą mieli dostęp tylko do serwerów sprzedanych przez sprzedawcę. - Pracownicy Klienta będą mieli dostęp tylko do serwerów należących do Klienta.
Nawet wśród tych wszystkich pracowników poziom dostępu będzie zależał od tego, czy mają uprawnienia P1, P2 czy P3.
te. mój pracownik z dostępem P3 może wykonywać wszystkie operacje na wszystkich serwerach. Mój pracownik z dostępem P1 może wykonywać ograniczone operacje na wszystkich serwerach. Pracownik odsprzedawcy z dostępem P1 może wykonywać ograniczone operacje na wszystkich serwerach na wszystkich serwerach, które zostały sprzedane za pośrednictwem tego odsprzedawcy, i tak dalej.
Od tego zaczynam od dn: dc = mojafirma, dc = com objectclass: organizacja objectclass: dcObject o: mycompany.net dc: mycompany

# Perms #

dn: ou=perms, dc=mycompany,dc=com

objectclass: organizationalUnitdn: cn=p1, ou=perms, dc=mycompany,dc=com

objectclass: organizationalRole

cn: p1dn: cn=p2, ou=perms,dc=mycompany,dc=com

objectclass: organizationalRole

cn: p2

# Reseller #

dn: ou=resellers, dc=mycompany,dc=com

objectclass: organizationalUnitdn: cn=r1, ou=resellers, dc=mycompany,dc=com

objectclass: organizationalUnit

member: uid=xyz, ou=unames, dc=mycompany,dc=comdn: cn=r2, ou=resellers, dc=mycompany,dc=com

objectclass: organizationalUnit

member: uid=abc, ou=unames, dc=mycompany,dc=com

# Customers #dn: ou=customers, dc=mycompany,dc=com

objectclass: organizationalUnitdn: cn=c1, ou=customers, dc=mycompany,dc=com

objectclass: organizationalUnit

member: uid=mno, ou=logins, dc=mycompany,dc=com

member: uid=pqr, ou=logins, dc=mycompany,dc=comdn: cn=c2, ou=customers, dc=mycompany,dc=com

objectclass: organizationalUnit

member: uid=mno2, ou=logins, dc=mycompany,dc=com

// unames

dn: ou=unames, dc=mycompany,dc=com

objectclass: organizationalUnit

ou: loginsdn: uid=abc, ou=unames, dc=mycompany,dc=com

objectclass: inetOrgPerson

cn: a

sn: bc

employeeType: cn=p2, ou=roles,dc=mycompany,dc=comdn: uid=pqr, ou=logins, dc=mycompany,dc=com

objectclass: inetOrgPerson

cn: p

sn: qr

employeeType: cn=p1, ou=roles, dc=mycompany,dc=com

Nie jestem pewien, czy to prawda. Ale nawet jeśli to prawda, poza tym jestem zdezorientowany
Jak mam serwery? Powiedzmy, że tworzę ou = serwery, dc = mojafirma, dc = com Następnie mam jeden wpis dla każdego serwera cn = srv1, ou = serwery, dc = mojafirma, dc = com itd.
Jak sprawdzić, który serwer należy do którego klienta. Czy mogę dodać członka: wewnątrz klienta? W takim przypadku klient będzie miał niektórych członków będących pracownikami i niektórych członków będących serwerami. To normalne?
Czy jest jakiś lepszy sposób?
Jak reprezentuję klientów bezpośrednich?
Czy powinienem utworzyć sprzedawcę o nazwie direct i umieścić w nim bezpośrednich klientów, a następnie użyć logiki kodu, aby traktować go jako specjalnego klienta?