Cosa sono CN, OU, DC in una ricerca LDAP?

493

Ho una query di ricerca in LDAP come questa. Cosa significa esattamente questa query?

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");
active-directory  ldap  ldap-query 
Ritesh Chandora
fonte
5
Non funziona, non hai una query LDAP corretta. Quello che hai è un nome completamente distinto probabilmente da una voce di Active Directory. Forse dovresti spiegare cosa stai cercando di realizzare.
jwilleke,

Risposte:

852
  • CN = Nome comune
  • OU = Unità organizzativa
  • DC = Componente dominio

Queste sono tutte parti della specifica della directory X.500, che definisce i nodi in una directory LDAP.

Puoi anche leggere su LDAP Interchange Format ( LDIF) , che è un formato alternativo.

Lo leggi da destra a sinistra, il componente più a destra è la radice dell'albero e il componente più a sinistra è il nodo (o foglia) che vuoi raggiungere.

Ogni =coppia è un criterio di ricerca.

Con la tua query di esempio

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

In effetti la query è:

Dal comComponente dominio, trova il googleComponente dominio, quindi al suo interno il glComponente dominio e quindi al suo interno il gpComponente dominio.

Nel gpComponente dominio, trova l'unità organizzativa chiamata Distribution Groupse quindi trova l'oggetto con un nome comune di Dev-India.

Burhan Khalid
fonte
5
Questi fanno tutti parte della specifica Directory X.500, componente Nome distinto. Niente a che fare con LDIF. LDIF non è "il modo in cui l'albero LDAP viene 'filtrato'": questa è la specifica della sintassi LDAP, che è un'altra cosa del tutto.
Marchese di Lorne,
TIL X.509 è un'estensione di X.500, ad esempio TLS si basa su LDAP: grumpycat: (Questa è un'enorme semplificazione
eccessiva
@EJP Come posso richiedere diversi oggetti dal loro CN? Come se lo volessi Dev-India2insieme Dev-India?
arrowd
491

Cosa sono CN, OU, DC?

Da RFC2253 (rappresentazione stringa UTF-8 di nomi distinti) :

String  X.500 AttributeType
------------------------------
CN      commonName
L       localityName
ST      stateOrProvinceName
O       organizationName
OU      organizationalUnitName
C       countryName
STREET  streetAddress
DC      domainComponent
UID     userid


Cosa significa la stringa di quella query?

La stringa ( "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com") è un percorso da una struttura gerarchica ( DIT = Directory Information Tree ) e dovrebbe essere letta da destra (radice) a sinistra (foglia).

È un DN (Distinguished Name) (una serie di coppie chiave / valore separate da virgola utilizzate per identificare le voci in modo univoco nella gerarchia di directory). Il DN è in realtà il nome completo della voce.

Qui puoi vedere un esempio in cui ho aggiunto alcune altre voci possibili.
Il percorso effettivo è rappresentato usando il verde.

Albero LDAP

I seguenti percorsi rappresentano i DN (e il loro valore dipende da cosa si desidera ottenere dopo l'esecuzione della query):

  • "DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=People,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=QA-Romania,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Diana Anton,OU=People,DC=gp,DC=gl,DC=google,DC=com"
ROMANIA_engineer
fonte
Qualche idea sul perché potresti ottenere un nome rimanente vuoto? Per questo c'è in realtà una generosità aperta
A_Di-Matteo,
@ROMANIA_engineer, se sono collegato al mio computer Windows (client), dove posso ottenere queste informazioni?
Artanis Zeratul,
So che questo post è piuttosto vecchio, tuttavia, per i googler (come me) che cercano una risposta sulla domanda @ArtanisZeratul per l'informazione: questa risposta mi ha aiutato su questo, se cerchi i server prova solo con nslookup:nslookup -type=srv _ldap._tcp.MY.DOMAIN
Rüdiger
@ Rüdiger, fantastico! grazie mille per le tue informazioni. Ci proverò più tardi :)
Artanis Zeratul il
Inoltre, per coloro che hanno bisogno di informazioni più approfondite sulla struttura dell'AD in cui si trovano (e non hanno qualcosa come un'Admin Console per cercarla) puoi usare l'editor ADSI fornito da Windows (accesso tramite MMC) - come accedi a Modifica ADSI
Rüdiger il
7

Voglio aggiungere qualcosa di diverso dalle definizioni delle parole. Molti di loro saranno visivi.

Tecnicamente, LDAP è solo un protocollo che definisce il metodo con cui si accede ai dati della directory. Necessariamente, definisce e descrive anche come i dati sono rappresentati nel servizio di directory

I dati sono rappresentati in un sistema LDAP come una gerarchia di oggetti, ognuno dei quali è chiamato voce . La struttura ad albero risultante si chiama Directory Information Tree (DIT) . La parte superiore dell'albero è comunemente chiamata radice (aka base o suffisso).il modello dei dati (informazioni)

Per navigare nel DIT possiamo definire un percorso (un DN ) fino al luogo in cui si trovano i nostri dati (cn = DEV-India, ou = Distrubition Groups, dc = gp, dc = gl, dc = google, dc = com ci porterà a una voce univoca) oppure possiamo definire un percorso (un DN) in cui riteniamo che i nostri dati siano (diciamo, ou = gruppi di distrubizione, dc = gp, dc = gl, dc = google, dc = com) quindi cercare il attributo = valore o più attributi = coppie di valori per trovare la nostra voce di destinazione (o voci).

inserisci qui la descrizione dell'immagine

Se vuoi ottenere informazioni più approfondite, visita qui

fgul
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.