我正在設定 LDAP(LLDAP,用於同一登入),並且我了解每個目錄都需要一個基本 DN。據我所知,基本 DN 的工作原理就像一個包含該目錄所有條目的命名空間。看來,更改正在運行的 LDAP 設定的基本 DN 可能並不簡單。
那我該如何選擇Base DN呢?它是完全任意的還是在某個時候會出現某些要求?
它應該是我擁有的網域還是保留/私有 DNS 命名空間?它應該有兩個直流分量嗎?
到目前為止我發現的一個要求是,對於某些應用程序,基本 DN 可能不為空。
答案1
how should I pick the Base DN?
我會從組織名稱開始,然後選擇一個直觀、簡短且無爭議的改編。然後新增一個子位置,以便您不會將該特定目錄託管在網域的根目錄下。
例如,Acme Missile Supply 可以是「DC=Identity,DC=AcmeRockets,DC=com」。
Should it be a domain that I own?
是的。請勿使用其他實體擁有或可能擁有的網域。這將使您的組織容易受到名稱查找劫持,並且無法使用該名稱取得受信任的憑證。
Should it be a private DNS Namespace?
不會。
Should it have two dc components?
否。
A requirement I've found out about so far is that for some applications, the Base DN may not be empty.
對於任何應用程式來說通常都是這種情況。所有目錄都有結構和名稱空間。我從未見過沒有這樣做的人,也沒有必要這樣做。