1-2 LDAP的基本概念

1. 決定根：這裡以快樂國小為例

happy.tc.edu.tw 是網域名稱, 樹系由根開始可能長這樣

Directory Information Tree(DIT)

為了方便後續操作, 我們借助另一套可以在windows上執行的LDAP client 工具來管理 – LDAP Admin

http://www.ldapadmin.org/

下載並解壓縮. 執行如下圖示

先建一個沒有加密的看是否能成功連結

Start → Connect → New Connection

從前面執行 ldp連結成功的訊息裡把 DC=happy,DC=tc,DC=edu,DC=tw 填入Base中

使用管理者的帳密登入, 在命令提示字元中查詢系統管理者的DN值

按OK, 再執行連結

成功畫面如下

View→ Show Values 打勾

點選CN=Users 裡的 CN=Administrator

CN=Administrator 視為一筆Entry, 並且帶有很多的屬性值, 例如

cn: cn 值為Administrator

dn: 組成distinguishedName的值則是由cn值及隸屬於OU=Users,及前面我們決定的樹系的根名稱, 使得dn值為 CN=Administrator,CN=Users,DC=happy,DC=tc,DC=edu,DC=tw

A distinguished name (usually just shortened to “DN”) uniquely identifies an entry and describes its position in the DIT.

https://ldap.com/ldap-dns-and-rdns/

dn值是每一筆記錄的唯一識別值, 以本台LDAP server 例,

樹系的根為 DC=happy,DC=tc,DC=edu,DC=tw ,是此網域的base dn

如果我們由AD新增一名身分為Student, 帳號為107-10701 的使用者

新建一名為Student 的組單位, 新增連絡人

新建使用者成功後, 使用ldap admin 點選根後按重新整理或重新連線

由上圖可以看出此使用者的屬性值

cn 值為 107-10701

dn值的屬性名稱是 distinguishedName , 值為

CN=107-10701,OU=Student,DC=happy,DC=tc,DC=edu,DC=tw

這裡要注意 DN值的最左邊 CN=107-10701 是由cn 值取來的, 兩個必須一致

如果我們在新增資料時, 全名寫入王小明, 則 cn值為王小明

dn值也會隨之表示為 CN=王小明,OU=Student,DC=happy,DC=tc,DC=edu,DC=tw

考量往後Windows AD可做為LDAP server做其它服務的驗證,底下幾個屬性性建議使用同一個帳號管理

cn: 與DN值有連動

sAMAccountName: 為網域登入用帳號 例如 HAPPY\ 107-10701

https://docs.microsoft.com/en-us/windows/desktop/ad/naming-properties#samaccountname

userPrincipalName: 107-10701@happy.tc.edu.tw 為 帳號加上@及網域名域

使用者帳戶名稱 (有時稱為使用者登入名稱) 和識別使用者帳戶所在網域的網域名稱。 這是登入 Windows 網域時的標準用法。 格式為： someone@example.com （如同電子郵件地址）。

https://docs.microsoft.com/zh-tw/dotnet/framework/configure-apps/file-schema/wcf/userprincipalname

上面所提三個屬性值建議使用同一帳號表示, 如果要寫入使用者中文姓名 ,則寫在 displayName