LDAP arama tabanı soneklerinin sözdizimi hakkında bir açıklama alabilir miyim?

LDAP arama tabanı sonekinin genellikle dizin sunucusunun ana bilgisayar adıyla eşleştiğini biliyorum. Başka bir deyişle, ana bilgisayar adı olup olmadığını biliyorum od.foobar.com, arama tabanı sonekini kullanmalıyım:dc=od,dc=foorbar,dc=com

Bunu neden yaptığımı anlamam beni rahatsız ediyor. Birisi biraz arka plan sağlayabilir ve ne yaptığımı tam olarak açıklayabilir mi?

Microsoft'un LDAP'yi 'kucaklama, genişletme ve değiştirme' öncesinde, çoğu uygulamada ağacın kökünü temsil eden nesneler vardı. Yani bir yerden başlamak zorundasın.

Neden tamamen açık değilim, Active Directory'de, ağaç / ormandaki her Etki Alanı, gerçekten iki ayrı nesne olmayan dc = domain, dc = com adıyla köklendirilir, bunun yerine dizinin sanal köküdür. isim alanı.

Bazılarının, Active Directory hakkında ne söylendiğine bakılmaksızın, hala bir dizi bağlantılı etki alanı olduğunu ve her etki alanının bağımsız bir varlık olarak ele alınması gerektiğini düşünüyorum.

Artık bir AD ağacında otomatik geçişli güvenler var, bu nedenle son kullanıcılar için daha az önemli hale geliyor, ancak ad alanı biraz bitişik görünse de, gerçekten değil.

Bu, AD ile bazı adlandırma kurallarında daha belirgin hale gelir. Örneğin, sAMAccountName aynı kapsayıcıda olsun ya da olmasın, bir etki alanında benzersiz olmalıdır. Yani tam ayırt edici ad benzersiz olmalıdır, (aynı kapsayıcıda iki John Smith kullanıcısı olamaz) ancak dahili olarak birçok şey için kullanılan kısa adın (sAMAccountName) tüm etki alanı içinde benzersiz olması gerekir.

Diğer dizin hizmetleri ya da benzersiz gereksinimler vardır, benzersiz unique gibi tüm dizin içinde gerçekten benzersiz olmalıdır, ancak bunun nedeni uygulama yazarları karmaşık sorunla başa çıkmak için çok tembel olduğu için uygulamalar genellikle bu varsayımı yapar çünkü (suçlamıyorum bunları kullanmak zor bir sorundur), bir hizmet kullanmaya çalışan, ancak iki farklı kapsayıcıda bulunan kısa jsmith adlarına sahip iki kullanıcının nasıl ele alınacağına dair. (Yani Belki cn = jsmith, ou = Londra, dc = acme, dc = com ve cn = jsmith, ou = Teksas, dc = acme, dc = com).

Bu dizini kullanan uygulamanız hangi kullanıcıyı kullanacağına nasıl karar vermelidir? Genel cevap kullanıcının karar vermesidir. Ancak bu, bu durumu yakalamak, kullanıcıya bir kullanıcı arayüzü sunmak ve neyi seçmek anlamına gelir.

Uygulama yazarlarının çoğu bu olasılığı görmezden gelir ve benzersizdir (benzersizdir) ve yapması daha kolaydır.

UniqueID ve sAMAccountName arasındaki fark, uniqueID'nin dizin adı alanı boyunca benzersiz olması gerektiğidir. Oysa sAMAccountName yalnızca etki alanı içinde benzersizdir. AD ağacının birkaç alanı varsa, alanlar arasında benzersizliğin garantisi yoktur.

Diğerleri, bir alan adı kullanmanın neden iyi bir fikir olduğunu açıklamıştır (ancak zorunlu değildir ). Ben sadece soru yanlış olduğunu ekleyin: bir makinenin adı temel alınarak bir taban eki yaşıyor değil hiç tavsiye (bilinen nedenlerle: Değiştirmek ne olur gandalf.example.comtarafından sarouman.example.com?). Genellikle yalnızca yetki verilen etki alanı adını example.comkullanırsınız dc=example,dc=com;

Dizinin kökü bir şeye ayarlanmalıdır . İstediğiniz gibi ayarlanabilir. Alan adı olarak ayarlamak, dizin adı alanınızın benzersiz olmasını sağlayan kullanışlı bir kuraldır.

Kısa sürüm: Temel yolun benzersiz olduğunu garanti etmek için alan adınızı eşleştirin.

Yapın ve şirketiniz başka bir şirketle birleşiyorsa ve sistemleri birleştirmeniz gerekiyorsa yeni bir yönetici gibi görünmeyeceksiniz :)

Tamam, bu çok kısa bir versiyondu =)