Ich richte ein LDAP (LLDAP, für Same-Sign-On) ein und mir ist klar, dass jedes Verzeichnis einen Basis-DN benötigt. Ich verstehe, dass der Basis-DN wie ein Namespace funktioniert, der alle Einträge dieses Verzeichnisses enthält. Es scheint, dass das Ändern des Basis-DN einer laufenden LDAP-Konfiguration nicht trivial ist.
Wie soll ich also den Basis-DN auswählen? Ist das völlig willkürlich oder könnten irgendwann bestimmte Anforderungen auftauchen?
Soll es eine Domäne sein, die mir gehört, oder ein anderweitig reservierter/privater DNS-Namespace? Soll es zwei DC-Komponenten haben?
Eine Anforderung, die ich bisher herausgefunden habe, ist, dass der Basis-DN für einige Anwendungen nicht leer sein darf.
Antwort1
how should I pick the Base DN?
Ich würde mit dem Organisationsnamen beginnen und eine Anpassung wählen, die intuitiv, kurz und unumstritten ist. Fügen Sie dann einen Unterspeicherort hinzu, damit Sie dieses bestimmte Verzeichnis nicht im Stammverzeichnis der Domäne hosten.
Beispielsweise könnte Acme Missile Supply wie folgt lauten: „DC=Identity,DC=AcmeRockets,DC=com“.
Should it be a domain that I own?
Ja. Verwenden Sie keine Domäne, die einer anderen Entität gehört oder gehören könnte. Dadurch wird Ihr Unternehmen anfällig für Namenssuch-Hijacking und kann keine vertrauenswürdigen Zertifikate mit diesem Namen erhalten.
Should it be a private DNS Namespace?
Nein. Auch private Namen sind anfällig für Angriffe und es ist nicht möglich, mit diesem Namen vertrauenswürdige Zertifikate zu erhalten.
Should it have two dc components?
Nein. Normalerweise drei oder mehr, da Sie keinen Verzeichnis-DN auf derselben Ebene wie die DNS-Domäne haben möchten, da dies normalerweise zu internen und externen Namenskonflikten führt, für die es komplizierte und nicht unterstützte Workarounds gibt.
A requirement I've found out about so far is that for some applications, the Base DN may not be empty.
Das ist normalerweise bei jeder Anwendung der Fall. Alle Verzeichnisse haben eine Struktur und einen Namensraum. Ich habe noch nie eines gesehen, das das nicht hat, und das ist auch nicht nötig.