Що таке CN, OU, DC в пошуку LDAP?

492

У мене є такий пошуковий запит у LDAP. Що саме означає цей запит?

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");
active-directory  ldap  ldap-query 
Рітеш Чандора
джерело
5
Це не працює, у вас немає належного LDAP-запиту. У вас є цілком відоме ім’я, ймовірно, із запису Active Directory. Можливо, вам слід пояснити, що ви намагаєтеся досягти.
jwilleke

Відповіді:

851
  • CN = Загальна назва
  • OU = Організаційний підрозділ
  • DC = Компонент домену

Це всі частини специфікації каталогу X.500, яка визначає вузли в каталозі LDAP.

Ви також можете прочитати на LDAP Data Interchange Format ( LDIF) , який є альтернативним форматом.

Ви читаєте його справа наліво, найправіший компонент - це корінь дерева, а самий компонент зліва - вузол (або лист), до якого ви хочете досягти.

Кожна =пара - це критерії пошуку.

З вашим прикладом запиту

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

По суті запит:

У comкомпоненті домену знайдіть googleкомпонент домену, а потім всередині нього glкомпонент домену, а потім всередині нього gpкомпонент домену.

У gpкомпоненті домену знайдіть названий організаційний підрозділ, Distribution Groupsа потім знайдіть об'єкт, який має загальну назву Dev-India.

Бурхан Халид
джерело
5
Все це є частиною специфікації каталогу X.500, компонент Розрізнене ім'я. Нічого конкретно не стосується LDIF. LDIF - це не "як" фільтрується "дерево LDAP: це специфікація синтаксису LDAP, що зовсім інша річ.
Маркіз Лорн
TIL X.509 - це розширення X.500, наприклад, TLS базується на LDAP: grumpycat: (Це величезне спрощення)
ThorSummoner
@EJP Як я можу запитати кілька об'єктів за їх CN? Як, якщо я хочу Dev-India2разом з Dev-India?
стрілок
491

Що таке CN, OU, DC?

З RFC2253 (рядкове представлення відмінних імен UTF-8) :

String  X.500 AttributeType
------------------------------
CN      commonName
L       localityName
ST      stateOrProvinceName
O       organizationName
OU      organizationalUnitName
C       countryName
STREET  streetAddress
DC      domainComponent
UID     userid


Що означає рядок із цього запиту?

Рядок ( "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com") - шлях від ієрархічної структури ( DIT = Дерево інформації каталогів ) і його слід читати справа (корінь) вліво (лист).

Це DN (Розрізнене ім'я) (серія розділених комами пар ключів / значень, яка використовується для ідентифікації записів в ієрархії каталогів). DN насправді є повністю кваліфікованою назвою запису.

Тут ви можете побачити приклад, коли я додав ще кілька можливих записів.
Фактичний шлях представлений зеленим кольором.

Дерево LDAP

Наступні шляхи представляють DN (і їх значення залежить від того, що ви хочете отримати після запуску запиту):

  • "DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=People,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=QA-Romania,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Diana Anton,OU=People,DC=gp,DC=gl,DC=google,DC=com"
ROMANIA_engineer
джерело
Будь-яка ідея, чому ви можете отримати порожнє ім’я? Для цього насправді є відкритий рахунок
A_Di-Matteo
@ROMANIA_engineer, якщо я ввійшов у свою машину Windows (клієнт), де я можу отримати цю інформацію?
Артаніс Зератул
Я знаю, що цей пост досить старий, але для гуглерів (як я), які шукають відповідь на питання @ArtanisZeratul для інформації: ця відповідь допомогла мені в цьому, якщо ви шукаєте сервери, просто спробуйте з nslookup:nslookup -type=srv _ldap._tcp.MY.DOMAIN
Rüdiger
@ Рюдігер, класно! велике спасибі за вашу інформацію. Я обов'язково спробую це пізніше :)
Артаніс Зератул
Крім того, для тих, хто потребує більш глибокої інформації про структуру AD, в якій вони перебувають (і не мають щось подібне до консолі адміністратора, щоб шукати її), ви можете скористатися редактором ADSI, наданим Windows (доступ через MMC) - як це зробити доступ до редагування ADSI
Rüdiger
7

Я хочу додати щось, що відрізняється від визначень слів. Більшість із них будуть візуальними.

Технічно LDAP - це просто протокол, який визначає метод доступу до даних каталогів. Обов'язково він також визначає та описує, як дані представлені в службі каталогу

Дані представлені в системі LDAP у вигляді ієрархії об'єктів, кожен з яких називається записом . Отримана структура дерева називається деревом інформаційного каталогу (DIT) . Верхівку дерева зазвичай називають коренем (він же основа або суфікс).модель даних (інформація)

Для навігації по DIT ми можемо визначити шлях ( DN ) до місця, де наші дані (cn = DEV-India, ou = Distrubition Groups, dc = gp, dc = gl, dc = google, dc = com прийме нас до унікального запису) або ми можемо визначити шлях (DN) туди, де, як нам здається, наші дані (скажімо, ou = Distrubition Groups, dc = gp, dc = gl, dc = google, dc = com), тоді шукаємо attribute = Значення або кілька атрибутів = пари значень, щоб знайти наш цільовий запис (або записи).

введіть тут опис зображення

Якщо ви хочете отримати більш детальну інформацію, відвідайте тут

fgul
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.