El Salvador
websys@itcgapps.com

Ideas generales de DNs, RDNs y LDAP

Bitácora de temas

Ideas generales de DNs, RDNs y LDAP

A efectos de permitir la gestión de la información contenida en el directorio, Active Directory implementa un concepto conocido como el Nombre Distinguido (DN, Distinguished Name), el cual tiene como objeto proporcionar una identificación única y exclusiva de un objeto dado dentro del directorio mismo.

Este DN representa la ruta jerárquica que permite referenciar a un objeto y son definidos como parte del estándar definido por el protocolo LDAP, como la forma de referirse a un elemento de un directorio que implemente dicho protocolo.  Es por esto, que la conformación de los DNs dentro de la documentación de AD siempre utilizarán la sintaxis y reglas establecidas por LDAP.

Por otro lado, existe también el Nombre Distinguido Relativo (RDN, Relative Distinguished Name), cuya función es referenciar en manera única a un objeto específico dentro de su contenedor padre, a efectos de poder listarlo como parte de la población almacenada.

 

Combinación de etiquetas y nombres asignados.

Según el estándar impuesto por LDAP es necesario hacer uso de una combinación de etiquetas y el nombre identificativo de un objeto (el asignado por el administrador IT) haciendo uso del carácter de coma (,) para conformar su DN y/o su RDN, recorriendo parte por parte cada nivel de la estructura jerárquica del directorio (visto generalmente como recorrer de abajo hacia arriba, de derecha hacia izquierda). A efectos comunes del entorno AD DS, suelen ser utilizadas las siguientes etiquetas:

  • DC, para identificar cada una de las partes del espacio de nombres DNS que identifican a los dominios, árboles y el bosque AD mismo.
  • OU, para identificar contenedores de naturaleza administrativa, que permiten establecer un orden y control logísticos, a través de una jerarquía especifica.
  • CN, utilizado por excelencia para identificar todos aquellos objetos que no pueden ser asignados en las categorías anteriores, esto incluirá tanto a los objetos empleados para representar la población de recursos (usuarios, equipos, etc.), así como contenedores que no establecerán orden ni control logístico más allá de su función agrupadora.

 

Ejemplos básicos.

Observando la siguiente figura, podemos conformar los DNs a través del empleo de etiquetas y sus nombres asignados:

  • Es necesario reconocer que el dominio gre2.local en realidad está haciendo uso de dos niveles del espacio de nombres DNS: un dominio de primer nivel (o TLD), identificado por el acrónimo “.local”, así como un dominio de segundo nivel, identificado por el nombre “gre2”. Por lo tanto, el DN respectivo corresponde a:
    • DC=gre2,DC=local
  • Para el caso de la Unidad Organizativa de Ventas, es claro que su propósito va más allá de la agrupación lógica de objetos (principios de organización, delegación y aplicación de políticas). Por esto, el DN se conformará según:
    • OU=OU Ventas,DC=gre2,DC=local
  • Los elementos que están siendo contenidos por la Unidad de Ventas, tal como se podrá intuir, representan la población de recursos administrados en el dominio; así que, siguiendo el estándar ya mencionado, sus respectivos DNs quedarán de la manera siguiente:
    • CN=jperez,OU=OU Ventas,DC=gre2,DC=local
    • CN=GRE2VTAS01,OU=OU Ventas,DC=gre2,DC=local
    • CN=gVentas,OU=OU Ventas,DC=gre2,DC=local