Was sind CN, OU, DC in einer LDAP-Suche?

492

Ich habe eine Suchabfrage in LDAP wie diese. Was genau bedeutet diese Abfrage?

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");
Ritesh Chandora
quelle
5
Es funktioniert nicht. Sie haben keine richtige LDAP-Abfrage. Was Sie haben, ist ein vollständig unterscheidbarer Name, wahrscheinlich von einem Active Directory-Eintrag. Vielleicht sollten Sie erklären, was Sie erreichen wollen.
Jwilleke

Antworten:

851
  • CN = Allgemeiner Name
  • OU = Organisationseinheit
  • DC = Domänenkomponente

Dies sind alles Teile der X.500-Verzeichnisspezifikation, die Knoten in einem LDAP-Verzeichnis definiert.

Sie können auch das LDAP-Daten-Interchange-Format ( LDIF) nachlesen , bei dem es sich um ein alternatives Format handelt.

Sie lesen es von rechts nach links, die Komponente ganz rechts ist die Wurzel des Baums und die Komponente ganz links ist der Knoten (oder das Blatt), den Sie erreichen möchten.

Jedes =Paar ist ein Suchkriterium.

Mit Ihrer Beispielabfrage

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

Tatsächlich lautet die Abfrage:

Von der comDomain - Komponente, die finden googleDomain Component, und darin dann die glDomain - Komponente und dann im Innern der gpDomain - Komponente.

gpSuchen Sie in der Domänenkomponente die aufgerufene Organisationseinheit Distribution Groupsund dann das Objekt mit dem gemeinsamen Namen Dev-India.

Burhan Khalid
quelle
5
Diese sind alle Teil der X.500-Verzeichnisspezifikation, Distinguised Name-Komponente. Überhaupt nichts speziell mit LDIF zu tun. LDIF ist nicht "wie der LDAP-Baum 'gefiltert' wird": Das ist die LDAP-Syntaxspezifikation, was insgesamt eine andere Sache ist.
Marquis von Lorne
TIL X.509 ist eine Erweiterung von X.500, z. B. TLS basiert auf LDAP: grumpycat: (Dies ist eine enorme Vereinfachung)
ThorSummoner
@EJP Wie frage ich nach mehreren Objekten von ihrem CN? Wie , wenn ich will Dev-India2zusammen mit Dev-India?
Menge
491

Was sind CN, OU, DC?

Aus RFC2253 (UTF-8-Zeichenfolgendarstellung von Distinguished Names) :

String  X.500 AttributeType
------------------------------
CN      commonName
L       localityName
ST      stateOrProvinceName
O       organizationName
OU      organizationalUnitName
C       countryName
STREET  streetAddress
DC      domainComponent
UID     userid


Was bedeutet die Zeichenfolge aus dieser Abfrage?

Die Zeichenfolge ( "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com") ist ein Pfad aus einer hierarchischen Struktur ( DIT = Directory Information Tree ) und sollte von rechts (root) nach links (leaf) gelesen werden .

Es handelt sich um einen DN (Distinguished Name) (eine Reihe von durch Kommas getrennten Schlüssel / Wert-Paaren, mit denen Einträge in der Verzeichnishierarchie eindeutig identifiziert werden). Der DN ist der vollständig qualifizierte Name des Eintrags.

Hier sehen Sie ein Beispiel, in dem ich weitere mögliche Einträge hinzugefügt habe.
Der tatsächliche Pfad wird grün dargestellt.

LDAP-Baum

Die folgenden Pfade stellen DNs dar (und ihr Wert hängt davon ab, was Sie nach dem Ausführen der Abfrage erhalten möchten):

  • "DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=People,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=QA-Romania,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Diana Anton,OU=People,DC=gp,DC=gl,DC=google,DC=com"
ROMANIA_engineer
quelle
Irgendeine Idee, warum Sie einen leeren verbleibenden Namen bekommen könnten? Für diese gibt es tatsächlich ein offenes Kopfgeld auf sie
A_Di-Matteo
@ROMANIA_engineer, wenn ich auf meinem Windows-Computer (Client) angemeldet bin, wo kann ich diese Informationen erhalten?
Artanis Zeratul
Ich weiß, dass dieser Beitrag ziemlich alt ist, aber für die Googler (wie ich), die nach einer Antwort auf die @ ArtanisZeratul-Frage suchen, um Informationen zu erhalten: Diese Antwort hat mir dabei geholfen, wenn Sie nach Servern suchen, versuchen Sie es einfach mit nslookup:nslookup -type=srv _ldap._tcp.MY.DOMAIN
Rüdiger
@ Rüdiger, cool! Vielen Dank für Ihre Informationen. Ich werde es sicher später versuchen :)
Artanis Zeratul
Auch für diejenigen , die tiefe Informationen über die Struktur des AD brauchen sie sind in (und haben nicht so etwas wie eine Admin Console es nachzuschlagen) können Sie das ADSI - Editor von Windows - (Zugang über MMC) versehen können - wie man Zugriff ADSI Edit
Rüdiger
7

Ich möchte etwas hinzufügen, das sich von der Definition von Wörtern unterscheidet. Die meisten von ihnen werden visuell sein.

Technisch gesehen ist, LDAP nur ein Protokoll, das die Methode definiert , durch die Verzeichnisdaten sind accessed.Necessarily, es definiert und beschreibt auch , wie Daten dargestellt im Verzeichnisdienst

Daten werden in einem LDAP-System als Hierarchie von Objekten dargestellt, von denen jedes als Eintrag bezeichnet wird . Die resultierende Baumstruktur wird als Directory Information Tree (DIT) bezeichnet . Die Spitze des Baums wird üblicherweise als Wurzel (auch als Basis oder Suffix bezeichnet) bezeichnet.das Daten- (Informations-) Modell

Um im DIT zu navigieren , können wir einen Pfad (einen DN ) zu dem Ort definieren, an dem sich unsere Daten befinden (cn = DEV-India, ou = Verteilungsgruppen, dc = gp, dc = gl, dc = google, dc = com) zu einem eindeutigen Eintrag) oder wir können einen Pfad (einen DN) definieren, zu dem wir glauben, dass unsere Daten sind (z. B. ou = Verteilungsgruppen, dc = gp, dc = gl, dc = google, dc = com) und dann nach dem suchen Attribut = Wert oder mehrere Attribut = Wert-Paare, um unseren Zieleintrag (oder unsere Einträge) zu finden.

Geben Sie hier die Bildbeschreibung ein

Wenn Sie weitere Informationen erhalten möchten, besuchen Sie hier

fgul
quelle