O que são CN, OU, DC em uma pesquisa LDAP?

493

Eu tenho uma consulta de pesquisa no LDAP assim. O que exatamente essa consulta significa?

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");
Ritesh Chandora
fonte
5
Não funciona. Você não possui uma consulta LDAP adequada. O que você tem é um nome totalmente distinto, provavelmente de uma entrada do Active Directory. Talvez você deva explicar o que está tentando realizar.
jwilleke

Respostas:

852
  • CN = Nome comum
  • OU = Unidade Organizacional
  • DC = Componente de Domínio

Essas são todas as partes da Especificação de diretório X.500, que define nós em um diretório LDAP.

Você também pode ler os dados no formato LDAP Interchange Format ( LDIF) , que é um formato alternativo.

Você o lê da direita para a esquerda, o componente mais à direita é a raiz da árvore e o componente mais à esquerda é o nó (ou folha) que você deseja alcançar.

Cada =par é um critério de pesquisa.

Com sua consulta de exemplo

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

Com efeito, a consulta é:

No comcomponente de domínio, localize o googlecomponente de domínio e, dentro dele, o glcomponente de domínio e, dentro dele, o gpcomponente de domínio.

No gpComponente de Domínio, localize a Unidade Organizacional chamada Distribution Groupse, em seguida, localize o objeto que possui um nome comum Dev-India.

Burhan Khalid
fonte
5
Tudo isso faz parte da especificação do diretório X.500, componente Nome distinto. Nada especificamente relacionado ao LDIF. LDIF não é "como a árvore LDAP é 'filtrada'": essa é a especificação da sintaxe LDAP, que é outra coisa.
Marquês de Lorne,
TIL X.509 é uma extensão do X.500, por exemplo, TLS é baseado em LDAP: gata rabugenta: (Esta é uma enorme simplificação)
ThorSummoner
@EJP Como solicito vários objetos pelo CN deles? Como se eu quiser Dev-India2junto Dev-India?
arrowd
491

O que são CN, OU, DC?

Do RFC2253 (representação de seqüência de caracteres UTF-8 de nomes distintos) :

String  X.500 AttributeType
------------------------------
CN      commonName
L       localityName
ST      stateOrProvinceName
O       organizationName
OU      organizationalUnitName
C       countryName
STREET  streetAddress
DC      domainComponent
UID     userid


O que a string dessa consulta significa?

A string ( "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com") é um caminho de uma estrutura hierárquica ( DIT = Directory Information Tree ) e deve ser lida da direita (raiz) para a esquerda (folha).

É um DN (Nome Distinto) (uma série de pares de chave / valor separados por vírgula usados ​​para identificar entradas exclusivamente na hierarquia de diretórios). O DN é realmente o nome completo da entrada.

Aqui você pode ver um exemplo em que adicionei mais entradas possíveis.
O caminho real é representado usando verde.

Árvore LDAP

Os seguintes caminhos representam DNs (e seu valor depende do que você deseja obter após a execução da consulta):

  • "DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=People,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=QA-Romania,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Diana Anton,OU=People,DC=gp,DC=gl,DC=google,DC=com"
ROMANIA_engineer
fonte
Alguma idéia de por que você pode obter um nome restante vazio? Para isso, existe realmente uma recompensa em aberto
A_Di-Matteo 12/09/16
@ROMANIA_engineer, se eu estiver logado na minha máquina Windows (cliente), onde posso obter essas informações?
Artanis Zeratul
Eu sei que este post é bastante antigo, no entanto, para os googlers (como eu) que buscam uma resposta na pergunta @ArtanisZeratul para obter informações: esta resposta me ajudou nisso, se você procurar os servidores, tente com o nslookup:nslookup -type=srv _ldap._tcp.MY.DOMAIN
Rüdiger
@ Rüdiger, legal! muito obrigado pela sua informação. Eu com certeza vai tentar isso mais tarde :)
Artanis Zeratul
Além disso, para aqueles que precisam de informações mais detalhadas sobre a estrutura do AD em que estão (e não têm algo como um Console de administração para procurá-lo), pode usar o editor ADSI fornecido pelo Windows (acesso via MMC) - como acessar ADSI Edit
Rüdiger
7

Quero acrescentar algo diferente das definições de palavras. A maioria deles será visual.

Tecnicamente, o LDAP é apenas um protocolo que define o método pelo qual os dados do diretório são acessados.Necessariamente, também define e descreve como os dados são representados no serviço de diretório

Os dados são representados em um sistema LDAP como uma hierarquia de objetos, cada um dos quais é chamado de entrada . A estrutura em árvore resultante é chamada de DIT (Directory Information Tree) . O topo da árvore é comumente chamado de raiz (também conhecida como base ou sufixo).o modelo de dados (informações)

Para navegar no DIT , podemos definir um caminho (um DN ) para o local onde nossos dados estão (cn = DEV-India, ou = Grupos de Distrubição, dc = gp, dc = gl, dc = google, dc = com nos levará para uma entrada exclusiva) ou podemos definir um caminho (um DN) para onde achamos que nossos dados estão (digamos, ou = Grupos de Distrubição, dc = gp, dc = gl, dc = gl, dc = google, dc = com) e, em seguida, procure o attribute = value ou multiple attribute = value pair para encontrar nossa entrada (ou entradas) de destino.

insira a descrição da imagem aqui

Se você deseja obter informações mais detalhadas, visite aqui

fgul
fonte