Estou configurando um LDAP (LLDAP, para mesmo logon) e entendo que todo diretório precisa de um DN base. Entendo que o DN Base funciona como um namespace contendo todas as entradas deste diretório. Parece que alterar o DN base de uma configuração LDAP em execução pode não ser trivial.
Então, como devo escolher o DN Base? É completamente arbitrário ou certos requisitos podem surgir em algum momento?
Caso contrário, deveria ser um domínio de minha propriedade ou um namespace DNS reservado/privado? Deveria ter dois componentes CC?
Um requisito que descobri até agora é que, para alguns aplicativos, o DN base pode não estar vazio.
how should I pick the Base DN?Eu começaria com o nome da organização e selecionaria uma adaptação que fosse intuitiva, curta e não controversa. Em seguida, adicione um sublocal para que você não hospede esse diretório específico na raiz do domínio.
Por exemplo, Acme Missile Supply poderia ser "DC=Identity,DC=AcmeRockets,DC=com".
Should it be a domain that I own?Sim. Não use um domínio que seja ou possa pertencer a outra entidade. Isso tornaria sua organização vulnerável ao sequestro de pesquisa de nome e à incapacidade de obter certificados confiáveis usando o nome.
Should it be a private DNS Namespace?Não. Nomes privados também estão sujeitos ao mesmo sequestro e à impossibilidade de obter certificados confiáveis usando o nome.
Should it have two dc components?Não. Normalmente, três ou mais, porque você não deseja ter um nome distinto de diretório no mesmo nível do domínio DNS, pois isso geralmente resulta em conflitos de nomes internos e externos que apresentam soluções alternativas confusas e sem suporte.
A requirement I've found out about so far is that for some applications, the Base DN may not be empty.Esse geralmente é o caso de qualquer aplicação. Todos os diretórios possuem uma estrutura e um espaço para nome. Nunca vi um que não o fizesse, nem que haja necessidade.