私は LDAP (LLDAP、同一サインオン) を設定していますが、すべてのディレクトリにベース DN が必要であることは理解しています。ベース DN は、このディレクトリのすべてのエントリを含む名前空間のように機能することを理解しています。実行中の LDAP 設定のベース DN を変更するのは簡単ではないようです。
では、ベース DN はどのように選択すればよいのでしょうか? 完全に任意なのでしょうか、それともある時点で特定の要件が出てくる可能性があるのでしょうか?
自分が所有するドメインにすべきでしょうか、それとも予約済み/プライベート DNS 名前空間にすべきでしょうか? 2 つの dc コンポーネントが必要ですか?
これまでに判明した要件は、一部のアプリケーションでは、Base DN が空であってはならないということです。
答え1
how should I pick the Base DN?
まず組織名から始め、直感的で短く、議論の余地のない名前を選択します。次に、サブ ロケーションを追加して、この特定のディレクトリをドメインのルートでホストしないようにします。
たとえば、Acme Missile Supply は「DC=Identity,DC=AcmeRockets,DC=com」となります。
Should it be a domain that I own?
はい。別の組織が所有している、または所有している可能性があるドメインは使用しないでください。そうすると、組織が名前検索ハイジャックに対して脆弱になり、その名前を使用して信頼できる証明書を取得できなくなります。
Should it be a private DNS Namespace?
いいえ。プライベート名も同様にハイジャックの対象となり、その名前を使用して信頼できる証明書を取得できなくなります。
Should it have two dc components?
いいえ。通常、DNS ドメインと同じレベルのディレクトリ識別名を持つことは望ましくないため、3 つ以上になります。そうすると、通常、内部名と外部名の競合が発生し、回避策が面倒でサポートされていない状態になります。
A requirement I've found out about so far is that for some applications, the Base DN may not be empty.
これは通常、どのアプリケーションにも当てはまります。すべてのディレクトリには構造と名前空間があります。これらを持たないディレクトリは見たことがありませんし、必要もありません。