¿Qué son CN, OU, DC en una búsqueda LDAP?

493

Tengo una consulta de búsqueda en LDAP como esta. ¿Qué significa exactamente esta consulta?

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");
active-directory ldap ldap-query Ritesh Chandora
fuente
55
No funciona, no tiene una consulta LDAP adecuada. Lo que tiene es un nombre completamente distinguido, probablemente de una entrada de Active Directory. Quizás deberías explicar lo que estás tratando de lograr.
jwilleke

Respuestas:

852
  • CN = Nombre común
  • OU = Unidad Organizacional
  • DC = Componente de dominio

Todas estas son partes de la especificación de directorio X.500, que define los nodos en un directorio LDAP.

También puede leer sobre el formato de intercambio de datos LDAP ( LDIF) , que es un formato alternativo.

Lo lees de derecha a izquierda, el componente más a la derecha es la raíz del árbol, y el componente más a la izquierda es el nodo (u hoja) que deseas alcanzar.

Cada =par es un criterio de búsqueda.

Con su consulta de ejemplo

("CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com");

En efecto, la consulta es:

Desde el comComponente de Dominio, busque el googleComponente de Dominio, y luego dentro de él el glComponente de Dominio y luego dentro de él el gpComponente de Dominio.

En el gpComponente de dominio, busque la Unidad organizativa llamada Distribution Groupsy luego busque el objeto que tiene un nombre común Dev-India.

Burhan Khalid
fuente
55
Todos estos son parte de la especificación de directorio X.500, componente de nombre distinguido. Nada que ver específicamente con LDIF en absoluto. LDIF no es "cómo se 'filtra' el árbol LDAP": esa es la especificación de sintaxis LDAP, que es otra cosa completamente distinta.
Marqués de Lorne
TIL X.509 es una extensión de X.500, por ejemplo, TLS se basa en LDAP: grumpycat: (Esta es una gran simplificación)
ThorSummoner
@EJP ¿Cómo solicito varios objetos por su CN? Como si quisiera Dev-India2junto con Dev-India?
arrowd
491

¿Qué son CN, OU, DC?

Desde RFC2253 (representación de cadena UTF-8 de nombres distinguidos) :

String  X.500 AttributeType
------------------------------
CN      commonName
L       localityName
ST      stateOrProvinceName
O       organizationName
OU      organizationalUnitName
C       countryName
STREET  streetAddress
DC      domainComponent
UID     userid


¿Qué significa la cadena de esa consulta?

La cadena ( "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com") es una ruta desde una estructura jerárquica ( DIT = Árbol de información de directorio ) y debe leerse de derecha (raíz) a izquierda (hoja).

Es un DN (nombre distinguido) (una serie de pares clave / valor separados por comas que se utilizan para identificar las entradas de forma exclusiva en la jerarquía de directorios). El DN es en realidad el nombre completo de la entrada.

Aquí puede ver un ejemplo donde agregué algunas entradas más posibles.
La ruta real se representa con verde.

Árbol LDAP

Las siguientes rutas representan los DN (y su valor depende de lo que desee obtener después de ejecutar la consulta):

  • "DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=People,DC=gp,DC=gl,DC=google,DC=com"
  • "OU=Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=QA-Romania,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Dev-India,OU=Distribution Groups,DC=gp,DC=gl,DC=google,DC=com"
  • "CN=Diana Anton,OU=People,DC=gp,DC=gl,DC=google,DC=com"
RUMANIA_ingeniero
fuente
¿Alguna idea de por qué puede obtener un nombre restante vacío? Para esto, en realidad hay una recompensa abierta
A_Di-Matteo
@ROMANIA_engineer, si estoy conectado a mi máquina Windows (cliente), ¿dónde puedo obtener esta información?
Artanis Zeratul
Sé que esta publicación es bastante antigua, sin embargo, para los googlers (como yo) que buscan una respuesta en la pregunta @ArtanisZeratul para la información: esta respuesta me ayudó en eso, si buscas los servidores solo prueba con nslookup:nslookup -type=srv _ldap._tcp.MY.DOMAIN
Rüdiger
@ Rüdiger, ¡genial! Muchas gracias por tu información. Seguramente lo intentaré más tarde :)
Artanis Zeratul
Además, para aquellos que necesitan información más profunda sobre la estructura de la AD en la que se encuentran (y no tienen algo como una Consola de administración para buscarla), pueden usar el editor ADSI proporcionado por Windows (acceso a través de MMC): cómo acceder a ADSI Edit
Rüdiger
7

Quiero agregar algo diferente de las definiciones de palabras. La mayoría de ellos serán visuales.

Técnicamente, LDAP es solo un protocolo que define el método mediante el cual se accede a los datos del directorio. Necesariamente, también define y describe cómo se representan los datos en el servicio de directorio

Los datos se representan en un sistema LDAP como una jerarquía de objetos, cada uno de los cuales se denomina entrada . La estructura de árbol resultante se denomina Árbol de información de directorio (DIT) . La parte superior del árbol se denomina comúnmente raíz (también conocida como base o sufijo).el modelo de datos (información)

Para navegar por el DIT , podemos definir una ruta (un DN ) al lugar donde están nuestros datos (cn = DEV-India, ou = Grupos de distribución, dc = gp, dc = gl, dc = google, dc = com nos llevará a una entrada única) o podemos definir una ruta (un DN) a donde creemos que están nuestros datos (por ejemplo, ou = Grupos de distribución, dc = gp, dc = gl, dc = google, dc = com) y luego buscar el atributo = valor o múltiples atributos = pares de valor para encontrar nuestra entrada (o entradas) objetivo.

ingrese la descripción de la imagen aquí

Si desea obtener información más detallada, visite aquí

fgul
fuente