it-swarm-ko.tech

LDAP 검색 기반 접미사의 구문에 대한 설명을 얻을 수 있습니까?

LDAP 검색 기반 접미사가 일반적으로 디렉토리 서버의 호스트 이름과 일치한다는 것을 알고 있습니다. 즉, 호스트 이름이 od.foobar.com인지 알고 있으며 검색 기반 접미사 dc=od,dc=foorbar,dc=com를 사용해야합니다.

내가 왜 이러는지를 이해하지 못하는 것은 나를 귀찮게한다. 누군가가 배경 지식을 제공하고 내가하는 일을 정확하게 설명 할 수 있습니까?

11
username

Microsoft의 LDAP '수용, 확장 및 변경'이전에는 대부분의 구현에 트리의 루트를 나타내는 개체가있었습니다. 즉 어딘가에서 시작해야합니다.

내가 완전히 명확하지 않은 이유로 Active Directory에서 트리/포레스트의 각 도메인은 실제로 두 개의 개별 개체가 아니라 디렉터리의 가상 루트 인 dc = domain, dc = com이라는 이름으로 루트가 지정됩니다. 이름 공간.

일부는 Active Directory에 대해 언급 한 내용에 관계없이 여전히 일련의 연결된 도메인이며 각 도메인을 독립 실행 형 엔터티로 취급해야한다는 사실에서 비롯된 것 같습니다.

이제 AD 트리 내에 자동 전이 트러스트가 있으므로 최종 사용자에게는 덜 중요하지만 네임 스페이스가 연속적으로 보이지만 실제로는 그렇지 않습니다.

이는 AD의 일부 명명 규칙에서 더욱 분명해집니다. 예를 들어 sAMAccountName은 동일한 컨테이너에 있는지 여부에 관계없이 도메인 내에서 고유해야합니다. 즉 전체 고유 이름은 고유해야하지만 (동일한 컨테이너에 두 명의 John Smith 사용자가있을 수 없음) 내부적으로 많은 항목에 사용되는 단축 이름 (sAMAccountName)은 전체 도메인 내에서 고유해야합니다.

다른 디렉토리 서비스도 다소 유사한 요구 사항을 가지고 있습니다. 예를 들어 uniqueID는 전체 디렉토리 내에서 실제로 고유해야하지만, 응용 프로그램 작성자가 복잡한 문제를 처리하기에는 너무 게으 르기 때문에 응용 프로그램이 일반적으로 이러한 가정을하기 때문입니다. 서비스를 사용하려고하지만 두 개의 다른 컨테이너에 존재하는 jsmith라는 짧은 이름을 가진 두 명의 사용자를 처리하는 방법에 대한 어려운 문제입니다. (예 : cn = jsmith, ou = London, dc = acme, dc = com 및 cn = jsmith, ou = Texas, dc = acme, dc = com).

이 디렉토리를 사용하는 애플리케이션은 사용할 사용자를 어떻게 결정해야합니까? 일반적인 대답은 사용자가 결정하도록하는 것입니다. 그러나 이는이 경우를 포착하여 사용자가 선택한 UI를 제공하는 것을 의미합니다.

대부분의 애플리케이션 작성자는 이러한 가능성을 무시하고 uniqueID 또는 sAMAccountName을 사용합니다. 이는 고유하고 (일종) 더 쉽게 할 수 있기 때문입니다.

UniqueID와 sAMAccountName의 차이점은 uniqueID가 디렉터리 이름 공간 전체에서 고유해야한다는 것입니다. sAMAccountName은 도메인 내에서만 고유 한 것으로 보장됩니다. AD 트리에 여러 도메인이있는 경우 도메인간에 고유성이 보장되지 않습니다.

7
geoffc

다른 사람들은 도메인 이름을 사용하는 것이 좋은 생각 인 이유를 설명했습니다 (그러나 필수는 아닙니다 아님 ). 나는 그 질문이 틀렸다고 덧붙였다. 기계 이름을 기반으로하는 기본 접미사는 전혀 권장하지 않는다 (명백한 이유로 : gandalf.example.comsarouman.example.com?)로 바꿉니다. 일반적으로 위임 된 도메인 이름 만 사용하므로 example.com가있는 경우 dc=example,dc=com를 사용합니다.

8
bortzmeyer

디렉토리의 루트는 something.로 설정해야합니다. 원하는대로 설정할 수 있습니다. 도메인 이름으로 설정하는 것은 디렉토리 이름 공간이 고유한지 확인하는 유용한 규칙입니다.

7
Brian

짧은 버전 : 기본 경로가 고유함을 보장하기 위해 도메인 이름을 일치시킵니다.

그렇게하면 회사가 다른 관리자와 합병하고 시스템을 합병해야하는 경우 새 관리자처럼 보이지 않습니다. :)

좋아, 그건 매우 짧은 버전 =)

3
Commander Keen