Что такое CN, OU, DC в поиске LDAP?

493

У меня есть поисковый запрос в LDAP, как это. Что именно означает этот запрос?

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");
active-directory ldap ldap-query Ритеш Чандора
источник
5
Это не работает, у вас нет правильного запроса LDAP. То, что у вас есть, является полностью отличительным именем, вероятно, от записи Active Directory. Возможно, вам следует объяснить, что вы пытаетесь достичь.
Jwilleke

Ответы:

852
  • CN = Общее имя
  • OU = Организационная единица
  • DC = Доменный Компонент

Это все части спецификации каталога X.500, которая определяет узлы в каталоге LDAP.

Вы также можете прочитать в формате обмена данными LDAP ( LDIF) , который является альтернативным форматом.

Вы читаете его справа налево, самый правый компонент является корнем дерева, а самый левый компонент - это узел (или лист), к которому вы хотите добраться.

Каждая =пара является критерием поиска.

С вашим примером запроса

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

По сути, запрос:

В comкомпоненте домена найдите googleкомпонент домена, а затем внутри него glкомпонент домена, а затем внутри него gpкомпонент домена.

В gpкомпоненте домена найдите названную организационную единицу, Distribution Groupsа затем найдите объект с общим именем Dev-India.

Бурхан Халид
источник
5
Все они являются частью спецификации Справочника X.500, компонента «Отличительное имя». Ничего конкретно не делать с LDIF вообще. LDIF - это не «как« фильтруется »дерево LDAP»: это спецификация синтаксиса LDAP, а это совсем другое.
Маркиз Лорн
TIL X.509 является расширением X.500, например, TLS основан на LDAP: grumpycat: (это огромное упрощение)
ThorSummoner
@EJP Как мне попросить несколько объектов по их CN? Нравится, если я хочу Dev-India2вместе с Dev-India?
стрела
491

Что такое CN, OU, DC?

Из RFC2253 (UTF-8 Строковое представление отличительных имен) :

String  X.500 AttributeType
------------------------------
CN      commonName
L       localityName
ST      stateOrProvinceName
O       organizationName
OU      organizationalUnitName
C       countryName
STREET  streetAddress
DC      domainComponent
UID     userid


Что означает строка из этого запроса?

Строка ( "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com") представляет собой путь от иерархической структуры ( DIT = Дерево информации каталога ) и должна читаться справа (корень), слева (лист).

Это DN (отличительное имя) (серия пар ключ / значение, разделенных запятыми, которые используются для уникальной идентификации записей в иерархии каталогов). DN на самом деле является полным именем записи.

Здесь вы можете увидеть пример, где я добавил еще несколько возможных записей.
Фактический путь представлен зеленым цветом.

Дерево LDAP

Следующие пути представляют DN (и их значение зависит от того, что вы хотите получить после выполнения запроса):

  • "DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=People,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=QA-Romania,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Diana Anton,OU=People,DC=gp,DC=gl,DC=google,DC=com"
ROMANIA_engineer
источник
Есть идеи, почему вы можете получить пустое оставшееся имя? Для этого на самом деле есть открытая
награда
@ROMANIA_engineer, если я захожу на свой компьютер с Windows (клиент), где я могу получить эту информацию?
Артанис Зератул
Я знаю, что этот пост довольно старый, но для googlers (таких как я), которые ищут ответ на вопрос @ArtanisZeratul для информации: этот ответ помог мне в этом, если вы ищете серверы, просто попробуйте с помощью nslookup:nslookup -type=srv _ldap._tcp.MY.DOMAIN
Rüdiger
@ Рюдигер, круто! Большое спасибо за вашу информацию. Я обязательно попробую это позже :)
Artanis Zeratul
Кроме того, для тех, кому нужна более глубокая информация о структуре AD, в которой они находятся (и не имеют что-то вроде консоли администратора для поиска), вы можете использовать редактор ADSI, предоставляемый Windows (доступ через MMC) - как доступ к ADSI Edit
Rüdiger
7

Я хочу добавить кое-что отличное от определений слов. Большинство из них будут визуальными.

Технически, LDAP - это просто протокол, который определяет метод доступа к данным каталога. Кроме того, он также определяет и описывает способ представления данных в службе каталогов.

Данные представлены в системе LDAP в виде иерархии объектов, каждый из которых называется записью . Результирующая древовидная структура называется Информационным деревом справочника (DIT) . Верх дерева обычно называется корнем (он же база или суффикс).Модель данных (информации)

Для навигации по DIT мы можем определить путь ( DN ) к месту, в котором находятся наши данные (cn = DEV-India, ou = Группы распространения, dc = gp, dc = gl, dc = google, dc = com, которые приведут нас к уникальной записи) или мы можем определить путь (DN), где мы думаем, что наши данные (скажем, ou = группы распространения, dc = gp, dc = gl, dc = google, dc = com), а затем найти атрибут = значение или несколько пар атрибут = значение, чтобы найти нашу целевую запись (или записи).

введите описание изображения здесь

Если вы хотите получить более подробную информацию, посетите здесь

fgul
источник