LDAP検索ベースのサフィックスは、一般的にディレクトリサーバーのホスト名と一致することを知っています。言い換えれば、ホスト名がod.foobar.comである場合、検索ベースのサフィックスを使用する必要があることを知っています。dc=od,dc=foorbar,dc=com
なぜ私がこれをしているのか理解できないのは気になります。誰かが背景を提供して、私がやっていることを正確に説明できますか?
回答:
MicrosoftがLDAPを「採用、拡張、変更」する前は、ほとんどの実装にはツリーのルートを表すオブジェクトがありました。すなわち、あなたはどこかから始めなければなりません。
Active Directoryでは、ツリー/フォレストの各ドメインは、実際には2つの別個のオブジェクトではなく、ディレクトリの仮想ルートであるdc = domain、dc = comという名前でルート化されているため、完全には明確ではありません。名前空間。
Active Directoryについて言われたことに関係なく、それはまだ一連のリンクされたドメインであり、各ドメインはスタンドアロンエンティティとして扱われる必要があるという事実に起因すると思います。
現在、ADツリー内には自動推移的信頼が存在するため、エンドユーザーにとって重要性は低下しますが、名前空間は連続しているように見えますが、実際にはそうではありません。
これは、ADのいくつかの命名規則でより明確になります。たとえば、sAMAccountNameは、同じコンテナ内にあるかどうかに関係なく、ドメイン内で一意である必要があります。すなわち、完全な識別名は一意である必要があります(同じコンテナに2人のJohn Smithユーザーを含めることはできません)が、内部で多くのことに使用される短縮名(sAMAccountName)はドメイン全体で一意である必要があります。
他のディレクトリサービスには、uniqueIDがディレクトリ全体で実際に一意である必要があるなど、多少似た要件がありますが、それは、アプリケーション作成者が複雑な問題に対処するのが面倒だからです。それらは、サービスを使用しようとしているが2つの異なるコンテナに存在するjsmithの短い名前を持つ2人のユーザーを処理する方法の難しい問題です)。(つまり、おそらくcn = jsmith、ou = London、dc = acme、dc = comおよびcn = jsmith、ou = Texas、dc = acme、dc = com)。
このディレクトリを使用するアプリケーションは、使用するユーザーをどのように決定する必要がありますか?通常の答えは、ユーザーに決定させることです。しかし、それはこのケースをキャッチし、ユーザーにUIを提示することを意味します。
ほとんどのアプリケーションライターはその可能性を無視し、uniqueIDまたはsAMAccountNameを使用します。これは一意であり、簡単に実行できるためです。
uniqueIDとsAMAccountNameの違いは、uniqueIDがディレクトリネームスペース全体で一意であることです。一方、sAMAccountNameはドメイン内でのみ一意であることが保証されています。ADツリーに複数のドメインがある場合、ドメイン間に一意性の保証はありません。