我正在设置 LDAP(LLDAP,用于同一登录),并且我了解每个目录都需要一个基本 DN。据我所知,基本 DN 的工作原理就像一个包含该目录所有条目的命名空间。看来,更改正在运行的 LDAP 设置的基本 DN 可能并不简单。
那么我应该如何选择Base DN呢?它是完全任意的还是在某个时候会出现某些要求?
它应该是我拥有的域还是保留/私有 DNS 命名空间?它应该有两个直流分量吗?
到目前为止我发现的一个要求是,对于某些应用程序,基本 DN 可能不为空。
AskOverflow.Dev
我正在设置 LDAP(LLDAP,用于同一登录),并且我了解每个目录都需要一个基本 DN。据我所知,基本 DN 的工作原理就像一个包含该目录所有条目的命名空间。看来,更改正在运行的 LDAP 设置的基本 DN 可能并不简单。
那么我应该如何选择Base DN呢?它是完全任意的还是在某个时候会出现某些要求?
它应该是我拥有的域还是保留/私有 DNS 命名空间?它应该有两个直流分量吗?
到目前为止我发现的一个要求是,对于某些应用程序,基本 DN 可能不为空。
how should I pick the Base DN?我会从组织名称开始,然后选择一个直观、简短且无争议的改编。然后添加一个子位置,以便您不会将该特定目录托管在域的根目录下。
例如,Acme Missile Supply 可以是“DC=Identity,DC=AcmeRockets,DC=com”。
Should it be a domain that I own?是的。请勿使用其他实体拥有或可能拥有的域。这将使您的组织容易受到名称查找劫持,并且无法使用该名称获取受信任的证书。
Should it be a private DNS Namespace?不会。私有名称也会受到相同的劫持,并且无法使用该名称获取受信任的证书。
Should it have two dc components?否。通常为三个或更多,因为您不希望目录专有名称与 DNS 域处于同一级别,因为这通常会导致内部和外部名称冲突,从而产生混乱且不受支持的解决方法。
A requirement I've found out about so far is that for some applications, the Base DN may not be empty.对于任何应用程序来说通常都是这种情况。所有目录都有结构和名称空间。我从未见过没有这样做的人,也没有必要这样做。