LDAP検索でのCN、OU、DCとは何ですか?


493

このようなLDAPの検索クエリがあります。このクエリは正確にはどういう意味ですか?

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

5
機能しません。適切なLDAPクエリがありません。あなたが持っているのは、おそらくActive Directoryエントリからの完全な識別名です。おそらく、達成しようとしていることを説明する必要があります。
jwilleke 2013

回答:


852
  • CN =一般名
  • OU =組織単位
  • DC =ドメインコンポーネント

これらはすべて、LDAPディレクトリのノードを定義するX.500ディレクトリ仕様の一部です。

また、代替フォーマットであるLDAPデータ交換フォーマット(LDIF)を読むこともできます。

右から左に読んでいきます。一番右のコンポーネントはツリーのルートで、一番左のコンポーネントは到達したいノード(またはリーフ)です。

=ペアは検索基準です。

あなたの例のクエリで

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

実際のクエリは次のとおりです。

comドメインコンポーネント、見つけgoogleドメインコンポーネント、およびそれ内部のglドメインコンポーネントと、それ内部のgpドメインコンポーネントを。

gpドメインコンポーネントと呼ばれる組織単位を見つけDistribution Groups、その後の一般的な名前を持つオブジェクトを見つけますDev-India


5
これらはすべて、X.500ディレクトリ仕様の識別名コンポーネントの一部です。特にLDIFとは特に関係ありません。LDIFは「LDAPツリーを「フィルターにかける」方法」ではありません。それは、LDAP構文の仕様です。これは、まったく別のことです。
ローンの侯爵2015年

TIL X.509はX.500の拡張です。たとえば、TLSはLDAPに基づいています:grumpycat:(これは大幅な単純化です)
ThorSummoner 2017

@EJP CNで複数のオブジェクトを要求するにはどうすればよいですか?Dev-India2一緒にしたい場合はDev-India
12

491

CN、OU、DCとは何ですか?

RFC2253(識別名のUTF-8文字列表現)

String  X.500 AttributeType
------------------------------
CN      commonName
L       localityName
ST      stateOrProvinceName
O       organizationName
OU      organizationalUnitName
C       countryName
STREET  streetAddress
DC      domainComponent
UID     userid


そのクエリの文字列はどういう意味ですか?

文字列("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com")は階層構造DIT = Directory Information Tree)からのパスであり、(ルート)から左(リーフ)に読み取る必要があります。

これはDN(識別名)(ディレクトリ階層でエントリを一意に識別するために使用される、一連のコンマ区切りのキー/値ペア)です。DNは、実際にはエントリの完全修飾名です。

ここでは、いくつかの可能なエントリを追加した例を示しています。
実際のパスは緑を使用して表されます。

LDAPツリー

次のパスはDNを表します(その値は、クエリの実行後に取得するものによって異なります)。

  • "DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=People,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=QA-Romania,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Diana Anton,OU=People,DC=gp,DC=gl,DC=google,DC=com"

空の残りの名前が表示される理由はありますか?このため実際にはオープンバウンティがあります
A_Di-Matteo

@ ROMANIA_engineer、Windowsマシン(クライアント)にログインしている場合、どこでこの情報を取得できますか?
Artanis Zeratul

私はこのポストはかなり古いですけど、まだ、情報のための@ArtanisZeratulの質問に答えを検索している(私のような)のGooglerのために: この答えはあなたがサーバを探している場合、その上で私を助け、ちょうどnslookupを実行してみてください:nslookup -type=srv _ldap._tcp.MY.DOMAIN
リュディガー

@リューディガー、かっこいい!あなたの情報をたくさんありがとう。私は後でそれを試すつもりです:)
Artanis Zeratul 2018

また、彼らは、Windows(MMC経由のアクセス)が提供するADSIエディタを使用することができますにしている(と、それをルックアップするために管理コンソールのようなものを持っていない)ADの構造に関するより深い情報が必要なもののために- どのようにアクセスADSI編集
リュディガー

7

言葉の定義とは違うものを加えたい。それらのほとんどは視覚的です。

技術的には、LDAPディレクトリデータがaccessed.Necessarilyされる方法、それも定義を定義し、データがされる方法を説明しますちょうどプロトコルです表さディレクトリサービスでは、

データは、LDAPシステムではオブジェクトの階層として表されます。各オブジェクトはエントリと呼ばれます。結果のツリー構造は、ディレクトリ情報ツリー(DIT)と呼ばれます。ツリーの最上部は一般にルート(別名ベースまたはサフィックス)と呼ばれます。データ(情報)モデル

DITをナビゲートするには、データが存在する場所へのパス(DN)を定義できます(cn = DEV-India、ou = Distrubition Groups、dc = gp、dc = gl、dc = google、dc = com will take us一意のエントリへ)または、データがあると思われる場所(たとえば、ou = Distrubition Groups、dc = gp、dc = gl、dc = google、dc = com)へのパス(DN)を定義してから、 attribute = valueまたは複数のattribute = valueペアを使用して、ターゲットエントリを検索します。

ここに画像の説明を入力してください

詳細情報が必要な場合は、こちらにアクセスしてください

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.