Bisakah saya mendapatkan penjelasan tentang sintaks sufiks basis pencarian LDAP?

Saya tahu sufiks basis pencarian LDAP umumnya cocok dengan nama host server direktori. Dengan kata lain, saya tahu jika nama hostnya adalah od.foobar.com, saya harus menggunakan akhiran basis pencarian:dc=od,dc=foorbar,dc=com

Mengganggu saya untuk tidak mengerti mengapa saya melakukan ini. Bisakah seseorang memberikan latar belakang dan menjelaskan dengan tepat apa yang saya lakukan?

Sebelum Microsoft 'merangkul, memperluas, dan mengubah' LDAP, sebagian besar implementasi memiliki objek untuk mewakili akar pohon. Yaitu Anda harus mulai dari suatu tempat.

Untuk alasan saya tidak sepenuhnya jelas tentang, di Active Directory, setiap Domain di pohon / hutan di-root dengan nama yang dc = domain, dc = com yang bukan benar-benar dua objek yang terpisah, melainkan merupakan akar virtual direktori ruang nama.

Saya pikir beberapa di antaranya berasal dari fakta, bahwa terlepas dari apa yang dikatakan tentang Active Directory, masih berupa serangkaian domain yang ditautkan, dan setiap domain perlu diperlakukan sebagai entitas yang berdiri sendiri.

Sekarang ada kepercayaan transitif otomatis dalam pohon AD, sehingga membuatnya kurang penting bagi pengguna akhir, tetapi meskipun namespace terlihat agak berdekatan, sebenarnya tidak.

Ini menjadi lebih jelas dengan beberapa aturan penamaan dengan AD. Misalnya sAMAccountName harus unik dalam suatu domain, terlepas dari apakah mereka berada di wadah yang sama atau tidak. Yaitu Nama dibedakan lengkap harus unik, (Anda tidak dapat memiliki dua pengguna John Smith dalam wadah yang sama) tetapi nama pendek yang digunakan untuk banyak hal secara internal (sAMAccountName) harus unik di seluruh domain.

Layanan direktori lain juga memiliki persyaratan yang agak mirip, seperti uniqueID harus benar-benar unik di seluruh direktori, tetapi itu lebih karena aplikasi biasanya membuat asumsi itu, karena penulis aplikasi terlalu malas untuk berurusan dengan masalah yang kompleks (saya tidak menyalahkan mereka, itu adalah masalah yang sulit) tentang bagaimana menangani dua pengguna dengan nama pendek jsmith yang mencoba menggunakan layanan, tetapi ada dalam dua wadah yang berbeda. (Yaitu Mungkin cn = jsmith, ou = London, dc = acme, dc = com dan cn = jsmith, ou = Texas, dc = acme, dc = com).

Bagaimana seharusnya aplikasi Anda menggunakan direktori ini memutuskan pengguna mana yang akan digunakan? Jawaban yang biasa adalah membiarkan pengguna memutuskan. Tapi itu berarti menangkap kasus ini, menyajikan UI untuk pengguna pilih dan yang lainnya.

Sebagian besar penulis aplikasi mengabaikan kemungkinan itu dan hanya menggunakan uniqueID atau sAMAccountName karena itu unik (semacam) dan lebih mudah dilakukan.

Perbedaan antara uniqueID dan sAMAccountName adalah bahwa uniqueID harus unik di seluruh ruang nama direktori. Sedangkan sAMAccountName hanya dijamin unik dalam domain. Jika pohon AD memiliki beberapa domain, tidak ada jaminan keunikan di antara domain.

Yang lain telah menjelaskan mengapa menggunakan nama domain adalah ide yang baik (tetapi tidak wajib). Saya hanya menambahkan bahwa pertanyaannya salah: memiliki akhiran basis berdasarkan nama mesin tidak direkomendasikan sama sekali (untuk alasan yang jelas: bagaimana jika Anda ganti gandalf.example.comdengan sarouman.example.com?). Anda biasanya hanya menggunakan nama domain yang didelegasikan sehingga, jika Anda miliki example.com, Anda gunakan dc=example,dc=com.

Akar direktori harus diatur ke sesuatu. Itu dapat diatur ke apa pun yang Anda suka. Menetapkannya ke nama domain hanyalah konvensi yang bermanfaat yang memastikan ruang nama direktori Anda unik.

Versi singkat: Cocokkan nama domain Anda sebagai jaminan bahwa jalur dasar adalah unik.

Lakukan, dan Anda tidak akan terlihat seperti admin yang baru jika perusahaan Anda bergabung dengan yang lain, dan Anda perlu menggabungkan sistem :)

Ok, itu versi yang sangat singkat =)