Kann ich eine Erklärung zur Syntax von LDAP-Suchbasissuffixen erhalten?

11

Ich weiß, dass ein LDAP-Suchbasissuffix im Allgemeinen mit dem Hostnamen des Verzeichnisservers übereinstimmt. Mit anderen Worten, ich weiß, wenn der Hostname lautet od.foobar.com, sollte ich das Suchbasissuffix verwenden:dc=od,dc=foorbar,dc=com

Es stört mich, nicht zu verstehen, warum ich das tue. Könnte jemand Hintergrundinformationen liefern und genau erklären, was ich tue?

ldap 
Nutzername
quelle
3
Ich bin mit dem Wort "allgemein" überhaupt nicht einverstanden. Die meisten LDAP-Sites verwenden den delegierten Domänennamen (hier foobar.com), NICHT den Hostnamen des Servers.
Bortzmeyer

Antworten:

7

Vor dem Umarmen, Erweitern und Ändern von LDAP durch Microsoft hatten die meisten Implementierungen Objekte, die den Stamm des Baums darstellen. Dh du musst irgendwo anfangen.

Aus Gründen, die mir nicht ganz klar sind, ist in Active Directory jede Domäne in der Baumstruktur / Gesamtstruktur mit einem Namen verwurzelt, der dc = Domäne, dc = com ist und nicht wirklich zwei separate Objekte ist, sondern ein virtuelles Stammverzeichnis des Verzeichnisses Namensraum.

Ich denke, dass ein Teil davon auf die Tatsache zurückzuführen ist, dass es sich unabhängig von den Aussagen zu Active Directory immer noch um eine Reihe verknüpfter Domänen handelt und jede Domäne als eigenständige Entität behandelt werden muss.

Jetzt gibt es automatische transitive Vertrauensstellungen innerhalb eines AD-Baums, sodass es für Endbenutzer weniger wichtig ist, aber obwohl der Namespace irgendwie zusammenhängend aussieht, ist dies nicht wirklich der Fall.

Dies wird bei einigen Namensregeln mit AD deutlicher. Beispielsweise muss sAMAccountName innerhalb einer Domäne eindeutig sein, unabhängig davon, ob sie sich im selben Container befinden oder nicht. Dh Der vollständige definierte Name muss eindeutig sein (Sie können nicht zwei John Smith-Benutzer im selben Container haben), aber der Kurzname, der intern für viele Dinge verwendet wird (sAMAccountName), muss innerhalb der gesamten Domäne eindeutig sein.

Andere Verzeichnisdienste haben entweder ähnliche Anforderungen, wie beispielsweise uniqueID, sollte innerhalb des gesamten Verzeichnisses wirklich eindeutig sein, aber das liegt eher daran, dass Anwendungen normalerweise diese Annahme treffen, da Anwendungsschreiber zu faul waren, um mit dem komplexen Problem umzugehen (ich beschuldige nicht) Für sie ist es ein schwieriges Problem, wie zwei Benutzer mit kurzen Namen von jsmith zu behandeln sind, die versuchen, einen Dienst zu verwenden, aber in zwei verschiedenen Containern vorhanden sind. (Dh vielleicht cn = jsmith, ou = London, dc = acme, dc = com und cn = jsmith, ou = Texas, dc = acme, dc = com).

Wie sollte Ihre Anwendung, die dieses Verzeichnis verwendet, entscheiden, welchen Benutzer sie verwenden soll? Die übliche Antwort ist, den Benutzer entscheiden zu lassen. Dies bedeutet jedoch, diesen Fall zu erfassen und dem Benutzer eine Benutzeroberfläche zur Auswahl und so weiter zu präsentieren.

Die meisten Anwendungsschreiber ignorieren diese Möglichkeit einfach und verwenden nur uniqueID oder sAMAccountName, da dies eindeutig (irgendwie) und einfacher zu tun ist.

Der Unterschied zwischen uniqueID und sAMAccountName besteht darin, dass uniqueID im gesamten Verzeichnisnamenbereich eindeutig sein sollte. Während sAMAccountName nur innerhalb der Domain garantiert eindeutig ist. Wenn der AD-Baum mehrere Domänen enthält, gibt es dort keine Garantie für die Eindeutigkeit zwischen Domänen.

geoffc
quelle
Ich bin mir nicht sicher, ob dies überhaupt die Frage beantwortet. Entweder ist die Frage nicht sehr gut formuliert oder mein Kopf dreht sich zu sehr.
ThatGraemeGuy
1
Ich denke das WARUM ist etwas willkürlich. Sie müssen irgendwo anfangen, und X.500, auf dem LDAP basiert, besagt, dass Sie eine Wurzel in Ihrem Baum haben müssen. (Sonst kippt es um?) Ist die Frage, warum irgendwo anfangen? Warum hier speziell anfangen?
Geoffc
8

Andere haben erklärt, warum die Verwendung eines Domainnamens eine gute Idee ist (aber nicht obligatorisch ist). Ich nur hinzufügen , dass die Frage falsch ist: ein Basissuffix auf den Namen einer Maschine auf Basis aufweist , ist nicht bei allen empfohlen (aus offensichtlichen Gründen: Was ist, wenn Sie ersetzen gandalf.example.comdurch sarouman.example.com?). Normalerweise verwenden Sie nur den delegierten Domänennamen. Wenn Sie diesen haben example.com, verwenden Sie ihn dc=example,dc=com.

bortzmeyer
quelle
+1 schöne Beobachtung. Völlig verpasst: D
Commander Keen
7

Das Stammverzeichnis des Verzeichnisses muss auf etwas gesetzt sein. Es kann auf alles eingestellt werden, was Sie möchten. Das Festlegen des Domänennamens ist lediglich eine nützliche Konvention, die sicherstellt, dass der Verzeichnisnamenbereich eindeutig ist.

Brian
quelle
3

Kurzversion: Passen Sie Ihren Domain-Namen an, um sicherzustellen, dass der Basispfad eindeutig ist.

Wenn Sie dies tun, sehen Sie nicht wie ein neuer Administrator aus, wenn Ihr Unternehmen mit einem anderen fusioniert und Sie Systeme zusammenführen müssen :)

Ok, das war eine sehr kurze Version =)

Commander Keen
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.