PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ldap suffix - verständnis problem



ruff
31.03.06, 21:55
Hallo,

ich hab einen Samba3/LDAP PDC laufen ,

jetzt schreib ich gerade ne Doku dazu, nun meine Frage:

Die Wurzel der Baumstruktur des LDAP-Servers heisst bei mir
dc="meineDomäne",dc="local"

wieso brauch ich diese dc=local noch ?? was besagt dieser eintrag, hat das was mit den TopLevelDomänen zutun.

wäre nett wenn mir das jemand kurz erklären könnte

mfg

ruff

bla!zilla
31.03.06, 22:17
Jein. LDAP ist wie ein Baum aufgebaut mit Wurzel, Zweigen usw. Wenn der LDAP Baum eine Organisation abbilden soll (nennen wir sie "foo"), kann "foo" als Wurzel definiert werden: o=foo. Das kann auch ein Land sein: c=de. Damit kann man sehr schön ganze UNternehmen abbilden:

c=de,o=foo
c=us,o=foo

Es gibt folgende CNs

CN commonName
L localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
STREET streetAddress
DC domainComponent
UID userid

Damit kann man sehr schön spielen. :)

CN=bla!zilla,L=Leverkusen,ST=NRW,C=DE

So könnte ich mich beschreiben. dc=domain,dc=tld ist aber auch korrekt. Zu LDAP3 gibt es RFCs (einfach mal Google anwerfen).

ruff
31.03.06, 22:45
ahh,

danke für deine Antwort, das heißt also das ich dieses dc=local eigentlich auch weglassen hätte könne. Es beschreibt einfach die dc="meineDomäne" etwas näher. ?!

Ich hatte zuerst statt dc=local ein dc=de eingetragen, hab das aber abgeändert weil ich noch en DNS-Server aufgesetzt hatte und da hatte ich bedenken, das ich Probleme mit den Tld bekäme....

mfg

mamue
01.04.06, 12:56
Jeder Eintrag in Deinem Baum hat einen global unterscheidbaren Namen, oder sollte ihn haben. Dazu ist es durchaus gängige Praxis, den root-DN nach dem Domainnamen zu modellieren, denn auch der sollte ja global eindeutig sein, man muß ihn aber nicht direkt abbilden.
Es gibt prinzipiell zwei Verfahren - man kann einerseits die Unternehmenseinteilung abbilden mit o=Unternehmen und ou=Standort/logische Einheit, oder man kann es versuchen mit dc=unterdomäne, dc=tld. Man kann das auch beliebig mischen. Man sollte sich aber unbedingt vorherh genaue Gedanken über die Benamsung machen, hinterher ist das nur ganz blöde wieder zu ändern.

HTH,
mamue

bla!zilla
01.04.06, 15:52
Es kommt aber auch auf den Verzeichnisdienst an. OpenLDAP hält sich sehr stark an die LDAP Referenzen. Active Directory von Microsoft ist auch ein LDAP Verzeichnis, aber sehr DNS orientiert. Daher verwendet AD immer eine DNS Domain als Suffix für das Verzeichnis. eDirectory von Novell dagegen nicht. Ich habe für mein LDAP Verzeichnis auch meine DNS Domain als Suffix genommen: dc=blazilla,dc=site.