저는 LDAP(동일 로그인을 위한 LLDAP)를 설정 중이며 모든 디렉터리에 기본 DN이 필요하다는 것을 알고 있습니다. 나는 기본 DN이 이 디렉터리의 모든 항목을 포함하는 네임스페이스처럼 작동한다는 것을 이해합니다. 실행 중인 LDAP 설정의 기본 DN을 변경하는 것은 쉽지 않은 것 같습니다.
그러면 기본 DN을 어떻게 선택해야 합니까? 완전히 임의적인 것입니까, 아니면 어느 시점에서 특정 요구 사항이 나타날 수 있습니까?
내가 소유한 도메인이어야 합니까, 아니면 예약된/개인 DNS 네임스페이스여야 합니까? 두 개의 DC 구성 요소가 있어야 합니까?
지금까지 제가 알아낸 요구 사항은 일부 애플리케이션의 경우 기본 DN이 비어 있지 않을 수 있다는 것입니다.
답변1
how should I pick the Base DN?
나는 조직 이름부터 시작하여 직관적이고 짧으며 논란의 여지가 없는 적응을 선택하겠습니다. 그런 다음 도메인 루트에서 이 특정 디렉터리를 호스팅하지 않도록 하위 위치를 추가합니다.
예를 들어 Acme Missile Supply는 "DC=Identity,DC=AcmeRockets,DC=com"일 수 있습니다.
Should it be a domain that I own?
예. 다른 법인이 소유하거나 소유할 수 있는 도메인을 사용하지 마세요. 이로 인해 조직은 이름 조회 하이재킹에 취약해지고 해당 이름을 사용하여 신뢰할 수 있는 인증서를 얻을 수 없게 됩니다.
Should it be a private DNS Namespace?
아니요. 개인 이름도 동일한 하이재킹의 대상이 되며 해당 이름을 사용하여 신뢰할 수 있는 인증서를 얻을 수 없습니다.
Should it have two dc components?
아니요. 일반적으로 DNS 도메인과 동일한 수준의 디렉터리 고유 이름을 갖고 싶지 않기 때문에 일반적으로 세 개 이상입니다. 일반적으로 지저분하고 지원되지 않는 해결 방법이 있는 내부 및 외부 이름 충돌이 발생하기 때문입니다.
A requirement I've found out about so far is that for some applications, the Base DN may not be empty.
이는 일반적으로 모든 응용 프로그램의 경우입니다. 모든 디렉토리에는 구조와 이름 공간이 있습니다. 나는 그렇지 않은 사람을 본 적이 없으며 그럴 필요도 없습니다.