Информация дерево каталогов ( DIT ) представляет собой данные представлены в виде иерархической древовидной структуры , состоящей из отличительных имен (DNS) в службах каталогов записей.
И протоколы X.500 , и облегченный протокол доступа к каталогам (LDAP) используют деревья информации каталогов в качестве своей основной структуры данных.
Обычно при развертывании X.500 или LDAP для отдельной организации дерево информации о каталогах состоит из двух частей:
- структура имени верхнего уровня для названия самой организации
- представление структуры модели данных в организации
Именование верхнего уровня
Верхний уровень информационного дерева справочника часто представляет политические и географические подразделения.
Первоначальное предположение X.500 заключалось в том, что все серверы каталогов будут связаны между собой, чтобы сформировать единое глобальное пространство имен . Записи на верхнем уровне дерева соответствовали странам, обозначенным их двухбуквенным кодом страны ISO 3166 . Записи, подчиненные записи страны, будут соответствовать штатам или провинциям и национальным организациям. Система именования для конкретной страны была определена национальным органом по стандартизации этой страны или поставщиком телекоммуникационных услуг.
Ограничением исходной древовидной структуры информации каталога было предположение, что приложения, выполняющие поиск записи в конкретной организации, будут перемещаться по дереву каталогов, сначала перейдя в конкретную страну, в которой находится эта организация, а затем в регион, где эта организация базируется затем найдите запись для самой организации, а затем найдите в этой организации нужную запись. Желание поддержать более широкий поиск для отдельного человека, когда все подробности о его местонахождении или организации не были известны, привело к экспериментам по развертыванию каталогов и взаимодействию, таким как Common Indexing Protocol .
Сегодня большинство развертываний LDAP, и в частности развертываний Active Directory , не связаны в единое глобальное пространство имен и не используют национальные коды стран в качестве основы для именования. Вместо этого эти развертывания следуют структуре каталогов, которая на верхнем уровне отражает структуру системы доменных имен , как описано в RFC 2247. Например, запись для организации с доменным именем «example.com» будет иметь отличительное имя « dc = example, dc = com ", и все записи в информационном дереве каталога этой организации будут содержать этот суффикс отличительного имени.
Организационная структура
Элементы организации, представленные в каталоге (например, люди, роли или устройства) в DIT, могут быть смоделированы различными методами. К определяющим факторам относятся:
- требования приложений, которые будут искать и обновлять каталог
- требование предоставить уникальное имя для каждой записи
- стремление к стабильности структуры каталогов
- стремление к удобочитаемости отличительных имен записей в справочнике
- простота импорта данных в каталог из существующих баз данных и других каталогов
Раннее развертывание X.500 в корпорациях и учреждениях с записями, представляющими сотрудников этих организаций, часто использовало структуру DIT, которая отражала организационную структуру, с записями организационных единиц, соответствующими отделам или подразделениям организации. Относительные отличительные имена записей для сотрудников часто образовывались из общих имен отдельных сотрудников. Пример DN раннего развертывания X.500 / LDAP может выглядеть следующим образом: «cn = Joe Bloggs, ou = Marketing, ou = Operations, o = Example Corporation, st = CA, c = US». Недостатком этого подхода является то, что при изменении организационной структуры или при смене сотрудниками своего юридического имени может потребоваться перемещение или переименование записей в каталоге, что увеличивает сложность и накладные расходы, а также может нарушить работу приложений, не предназначенных для этого. изящно справляйтесь с такими движениями.
Сегодня многие крупные развертывания X.500 или LDAP используют единое плоское пространство имен для записей и выбирают именование записей для отдельных лиц на основе относительного отличительного имени, которое является идентификатором, назначенным организацией, например именем пользователя или сотрудника. номер. Сегодня DN может напоминать «uid = 00003, ou = People, dc = example, dc = com». Преимущество этой структуры состоит в том, что записи не нужно перемещать, даже когда сотрудники меняют свое имя или переводятся в другие отделы. Эти изменения могут быть осуществлены посредством простой модификации атрибута, и приложения, которые могут использовать DN в качестве уникального идентификатора (например, в базе данных), не нужно трогать.