Que sont CN, OU, DC dans une recherche LDAP?


493

J'ai une requête de recherche dans LDAP comme celle-ci. Que signifie exactement cette requête?

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

5
Cela ne fonctionne pas, vous ne disposez pas d'une requête LDAP appropriée. Ce que vous avez est un nom complet, probablement d'une entrée Active Directory. Vous devriez peut-être expliquer ce que vous essayez d'accomplir.
jwilleke

Réponses:


852
  • CN = Nom commun
  • OU = Unité organisationnelle
  • DC = Composant de domaine

Ce sont toutes des parties de la spécification d'annuaire X.500, qui définit les nœuds dans un annuaire LDAP.

Vous pouvez également consulter le format d'échange de données LDAP ( LDIF) , qui est un autre format.

Vous le lisez de droite à gauche, le composant le plus à droite est la racine de l'arborescence et le composant le plus à gauche est le nœud (ou la feuille) que vous souhaitez atteindre.

Chaque =paire est un critère de recherche.

Avec votre exemple de requête

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

En effet, la requête est:

À partir du comcomposant de domaine, recherchez le googlecomposant de domaine, puis à l'intérieur, le glcomposant de domaine, puis à l'intérieur, le gpcomposant de domaine.

Dans le gpcomposant de domaine, recherchez l'unité organisationnelle appelée Distribution Groups, puis recherchez l'objet portant un nom commun Dev-India.


5
Ces éléments font tous partie de la spécification de l'annuaire X.500, composant Distinguised Name. Rien à voir avec LDIF du tout. LDIF n'est pas «comment l'arbre LDAP est« filtré »»: c'est la spécification de la syntaxe LDAP, ce qui est tout autre chose.
Marquis de Lorne

TIL X.509 est une extension de X.500, par exemple TLS est basé sur LDAP: grumpycat: (Il s'agit d'une énorme simplification)
ThorSummoner

@EJP Comment demander plusieurs objets à leur CN? Comme si je voulais Dev-India2avec Dev-India?
arrowd

491

Que sont CN, OU, DC?

De RFC2253 (représentation de chaîne UTF-8 des noms distingués) :

String  X.500 AttributeType
------------------------------
CN      commonName
L       localityName
ST      stateOrProvinceName
O       organizationName
OU      organizationalUnitName
C       countryName
STREET  streetAddress
DC      domainComponent
UID     userid


Que signifie la chaîne de cette requête?

La chaîne ( "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com") est un chemin d'accès à partir d'une structure hiérarchique ( DIT = Directory Information Tree ) et doit être lue de droite (racine) à gauche (feuille).

Il s'agit d'un DN (nom distinctif) (une série de paires clé / valeur séparées par des virgules utilisées pour identifier les entrées de manière unique dans la hiérarchie d'annuaire). Le DN est en fait le nom complet de l'entrée.

Ici, vous pouvez voir un exemple où j'ai ajouté d'autres entrées possibles.
Le chemin réel est représenté en vert.

Arborescence LDAP

Les chemins suivants représentent les noms distinctifs (et leur valeur dépend de ce que vous souhaitez obtenir après l'exécution de la requête):

  • "DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=People,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=QA-Romania,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Diana Anton,OU=People,DC=gp,DC=gl,DC=google,DC=com"

Une idée pourquoi vous pouvez obtenir un nom restant vide? Pour cela, il y a en fait une prime ouverte
A_Di-Matteo

@ROMANIA_engineer, si je suis connecté à ma machine Windows (client), où puis-je obtenir ces informations?
Artanis Zeratul

Je sais que ce message est assez ancien, pour les googleurs (comme moi) qui recherchent une réponse sur @ArtanisZeratul pour les informations: cette réponse m'a aidé à ce sujet, si vous recherchez les serveurs, essayez avec nslookup:nslookup -type=srv _ldap._tcp.MY.DOMAIN
Rüdiger

@ Rüdiger, cool! merci beaucoup pour vos informations. Je vais certainement essayer ça plus tard :)
Artanis Zeratul

De plus, pour ceux qui ont besoin d'informations plus détaillées sur la structure de l'AD dans laquelle ils se trouvent (et qui n'ont pas quelque chose comme une console d'administration pour le rechercher), vous pouvez utiliser l'éditeur ADSI fourni par Windows (accès via MMC) - comment accéder à ADSI Edit
Rüdiger

7

Je veux ajouter quelque chose de différent des définitions de mots. La plupart d'entre eux seront visuels.

Techniquement, LDAP est juste un protocole qui définit la méthode par laquelle les données d'annuaire sont accédées. Il définit et décrit également comment les données sont représentées dans le service d'annuaire.

Les données sont représentées dans un système LDAP sous la forme d'une hiérarchie d'objets, chacun étant appelé une entrée . La structure arborescente résultante est appelée un arbre d'informations d'annuaire (DIT) . Le sommet de l'arbre est communément appelé racine (aka base ou suffixe).le modèle de données (information)

Pour naviguer dans le DIT, nous pouvons définir un chemin (un DN ) vers l'endroit où se trouvent nos données (cn = DEV-India, ou = Distrubition Groups, dc = gp, dc = gl, dc = google, dc = com nous mènera à une entrée unique) ou nous pouvons définir un chemin (un DN) vers lequel nous pensons que nos données se trouvent (par exemple, ou = groupes de distraction, dc = gp, dc = gl, dc = google, dc = com), puis recherchez le attribut = valeur ou plusieurs paires attribut = valeur pour trouver notre entrée cible (ou entrées).

entrez la description de l'image ici

Si vous souhaitez obtenir des informations plus détaillées, vous visitez ici

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.