我正在设置 LDAP(LLDAP,用于同名登录),我知道每个目录都需要一个基本 DN。我知道基本 DN 的工作方式类似于包含此目录所有条目的命名空间。看来更改正在运行的 LDAP 设置的基本 DN 可能并不是一件容易的事。
那么我应该如何选择基本 DN?它是完全任意的还是在某个时候会出现某些要求?
它应该是我拥有的域名还是保留/私有 DNS 命名空间?它应该有两个 dc 组件吗?
到目前为止我发现的一个要求是,对于某些应用程序,基本 DN 可能不为空。
答案1
how should I pick the Base DN?
我会从组织名称开始,选择一个直观、简短且无争议的改编。然后添加一个子位置,这样您就不会在域的根目录中托管这个特定目录。
例如,Acme Missile Supply 可以是“DC=Identity,DC=AcmeRockets,DC=com”。
Should it be a domain that I own?
是的。不要使用其他实体拥有或可能拥有的域名。这会使您的组织容易受到名称查找劫持,并且无法使用该名称获取受信任的证书。
Should it be a private DNS Namespace?
不可以。私有名称也容易遭受同样的劫持,并且无法使用该名称获取受信任的证书。
Should it have two dc components?
不可以。通常需要三个或更多,因为您不希望目录可分辨名称与 DNS 域处于同一级别,因为这通常会导致内部和外部名称冲突,从而产生混乱且不受支持的解决方法。
A requirement I've found out about so far is that for some applications, the Base DN may not be empty.
对于任何应用程序来说,情况通常都是如此。所有目录都具有结构和名称空间。我从未见过没有结构和名称空间的目录,也不需要这样做。