Czy mogę uzyskać wyjaśnienie składni sufiksów bazy wyszukiwania LDAP?

11

Wiem, że sufiks bazy wyszukiwania LDAP zasadniczo odpowiada nazwie hosta serwera katalogów. Innymi słowy, wiem, czy nazwa hosta to od.foobar.com: powinienem użyć sufiksu bazy wyszukiwania:dc=od,dc=foorbar,dc=com

Niepokoi mnie to, że nie rozumiem, dlaczego to robię. Czy ktoś mógłby podać jakieś tło i dokładnie wyjaśnić, co robię?

Nazwa Użytkownika
źródło
3
Zdecydowanie nie zgadzam się ze słowem „ogólnie”. Większość witryn LDAP używa delegowanej nazwy domeny (tutaj foobar.com), NIE nazwy hosta serwera.
bortzmeyer

Odpowiedzi:

7

Przed włączeniem, rozszerzeniem i zmianą LDAP przez Microsoft większość implementacji miała obiekty reprezentujące korzeń drzewa. Tzn. Musisz gdzieś zacząć.

Z powodów, dla których nie jestem całkowicie pewien, w Active Directory każda domena w drzewie / lesie jest zrootowana nazwą o nazwie dc = domena, dc = com, która tak naprawdę nie jest dwoma oddzielnymi obiektami, a raczej wirtualnym katalogiem głównym przestrzeń nazw.

Myślę, że niektóre z nich wynikają z faktu, że niezależnie od tego, co mówi się o usłudze Active Directory, wciąż jest to seria połączonych domen, a każda domena musi być traktowana jako samodzielna jednostka.

Teraz istnieją automatyczne przechodnie relacje zaufania w drzewie AD, dzięki czemu użytkownicy końcowi mają mniejsze znaczenie, ale mimo że przestrzeń nazw wygląda na ciągłą, tak naprawdę nie jest.

Staje się to bardziej widoczne w przypadku niektórych reguł nazewnictwa w AD. Na przykład sAMAccountName musi być unikalny w domenie, niezależnie od tego, czy znajduje się w tym samym kontenerze, czy nie. Tzn. Pełna nazwa wyróżniająca musi być unikalna (nie możesz mieć dwóch użytkowników John Smith w tym samym kontenerze), ale krótka nazwa używana do wielu rzeczy wewnętrznie (sAMAccountName) musi być unikalna w całej domenie.

Inne usługi katalogowe mają nieco podobne wymagania, np. Unikalny identyfikator powinien być naprawdę unikalny w całym katalogu, ale to więcej, ponieważ aplikacje zwykle przyjmują takie założenie, ponieważ twórcy aplikacji byli zbyt leniwi, aby poradzić sobie ze złożonym problemem (nie obwiniam jest to trudny problem), jak obsługiwać dwóch użytkowników o krótkich nazwach jsmith próbujących skorzystać z usługi, ale istniejących w dwóch różnych kontenerach. (Tj. Być może cn = jsmith, ou = Londyn, dc = acme, dc = com i cn = jsmith, ou = Texas, dc = acme, dc = com).

Jak aplikacja korzystająca z tego katalogu powinna decydować, którego użytkownika użyć? Zwykle odpowiedzią jest decyzja użytkownika. Ale to oznacza złapanie tego przypadku, przedstawienie interfejsu użytkownika użytkownikowi, który wybierze i co tam jeszcze.

Większość autorów aplikacji po prostu ignoruje tę możliwość i po prostu używa niepowtarzalnego identyfikatora lub sAMAccountName, ponieważ jest to unikalne (w pewnym sensie) i łatwiejsze do zrobienia.

Różnica między unikalnym identyfikatorem a sAMAccountName polega na tym, że unikalny identyfikator powinien być unikalny w całej przestrzeni nazw katalogów. Podczas gdy sAMAccountName ma gwarancję unikalności w obrębie domeny. Jeśli drzewo AD ma kilka domen, nie ma gwarancji wyjątkowości między domenami.

geoffc
źródło
Nie jestem pewien, czy to w ogóle odpowiada na pytanie. Albo pytanie nie jest dobrze sformułowane, albo moja głowa kręci się zbyt mocno.
ThatGraemeGuy
1
Myślę, że DLACZEGO jest nieco arbitralny. Musisz gdzieś zacząć, a X.500, na którym opiera się LDAP, mówi, że musisz mieć root do swojego drzewa. (W przeciwnym razie przewróci się?) Czy pytanie DLACZEGO gdzieś zacząć? Dlaczego warto zacząć właśnie tutaj?
geoffc
8

Inni wyjaśnili, dlaczego używanie nazwy domeny jest dobrym pomysłem (ale nie jest obowiązkowe). Dodam tylko, że pytanie jest źle: o sufiks podstawowej w oparciu o nazwy urządzenia jest nie zaleca się w ogóle (z oczywistych powodów: co, jeśli zastąpić gandalf.example.comprzez sarouman.example.com?). Zazwyczaj używasz tylko delegowanej nazwy domeny, więc jeśli tak example.com, korzystasz dc=example,dc=com.

bortzmeyer
źródło
+1 ładna obserwacja. Zupełnie tęskniłem za tym: D
komandor Keen
7

Katalog główny musi być ustawiony na coś. Można ustawić na cokolwiek zechcesz. Ustawienie go na nazwę domeny to po prostu przydatna konwencja, która zapewnia unikalność przestrzeni nazw katalogów.

Brian
źródło
3

Krótka wersja: Dopasuj nazwę domeny, aby zagwarantować, że podstawowa ścieżka jest unikalna.

Zrób to, a nie będziesz wyglądał jak nowy administrator, jeśli Twoja firma połączy się z inną i musisz połączyć systemy :)

Ok, to była bardzo krótka wersja =)

Komandor Keen
źródło