Я настраиваю LDAP (LLDAP, для same-sign on) и понимаю, что каждому каталогу нужен Base DN. Я понимаю, что Base DN работает как пространство имен, содержащее все записи этого каталога. Похоже, что изменение Base DN работающей настройки LDAP может быть нетривиальной задачей.
Так как же мне выбрать Base DN? Он полностью произвольный или в какой-то момент могут возникнуть определенные требования?
Должен ли это быть домен, которым я владею, или зарезервированное/частное пространство имен DNS? Должно ли оно иметь два dc-компонента?
На данный момент я узнал, что для некоторых приложений базовое DN может быть непустым.
решение1
how should I pick the Base DN?
Я бы начал с названия организации и выбрал бы адаптацию, которая была бы интуитивно понятной, короткой и непротиворечивой. Затем добавьте подместо, чтобы вы не размещали этот конкретный каталог в корне домена.
Например, Acme Missile Supply может быть «DC=Identity,DC=AcmeRockets,DC=com».
Should it be a domain that I own?
Да. Не используйте домен, который принадлежит или может принадлежать другому субъекту. Это сделает вашу организацию уязвимой для перехвата поиска имени и невозможности получения доверенных сертификатов с использованием имени.
Should it be a private DNS Namespace?
Нет. Частные имена также подвержены такому же перехвату, и получение доверенных сертификатов с использованием имени становится невозможным.
Should it have two dc components?
Нет. Обычно три или более, поскольку вы не хотите иметь отличительное имя каталога на том же уровне, что и домен DNS, поскольку это обычно приводит к внутренним и внешним конфликтам имен, для которых существуют запутанные и неподдерживаемые обходные пути.
A requirement I've found out about so far is that for some applications, the Base DN may not be empty.
Это обычно так для любого приложения. Все каталоги имеют структуру и пространство имен. Я никогда не видел ни одного, у которого их нет, да и нет в этом необходимости.