Active Directory действительно LDAP-совместим?
Я работаю над плагином к одному из наших продуктов (RMS), который позволит клиентам импортировать информацию сотрудника, хранившую в их каталоге LDAP в соответствующую запись Человека в нашем приложении.
Наша RMS позволяет записям Человека иметь несколько имен и адресов (это - система общественной безопасности: эта функция для поддержки людей с AKA's и несколько известных адресов). Из-за природы программного обеспечения мы думаем, что это было бы очень полезный для получения по запросу нескольких имен и адресов от LDAP, если сервер LDAP поддерживает его.
Я находился под Active Directory впечатления, будет поддерживать это, но это, кажется, не вообще. Смотря на RFC 2256, Разделы 5.41 и 5.42, например, это кажется очевидным это givenName предназначается, чтобы быть полем мультизначения (т.е. синтаксис не указывает SINGLE-VALUE, и RFC 2252 указывает, что "мультизначение" является значением по умолчанию). То же идет для cn, sn, streetAddress, и большая часть любого другого "стандартного" атрибута я потрудился искать.
Собственная документация Microsoft, кажется, предполагает, что они соответствуют RFC 2256:
В настоящее время Active Directory Windows 2000 достигает соответствия LDAP через поддержку следующего RFCs.
[RFC 2256 затем перечислен среди различного "поддерживаемого" RFCs под направляющимися "Базовыми Требованиями LDAP – RFC 3377"]
RFC 3377 указывает, что RFC 2256 является действительно частью набора 8 RFC, которые вместе включают полную техническую спецификацию для LDAPv3.
Я смущен: не был бы не после фактического предложенного синтаксиса для стандартных атрибутов такой как givenName и др. составьте "несоблюдение"?
Кроме того, у кого-либо есть категорический список различий между соединением с и запросами Active Directory по сравнению с другими серверами каталогов (OpenLDAP, eDirectory, и т.д.)? Это - приложение VB6, таким образом, я использовал ADSDSOObject Поставщик ADODB. Первоначально я думал, что мог просто написать тот же код для любого сервера каталогов и иметь его работа, пока я использовал стандартные атрибуты, но очевидно если тот же атрибут определяется как единственное значение в некоторых реализациях и мультизначение в других, я оказываюсь перед необходимостью писать код для контакта с тем сценарием.
Я начинаю задаваться вопросом, является ли это одной причиной, почему столько приложений, которые имеют какую-то "интеграцию LDAP" обычно, имеет абсолютно отдельную страницу настроек для "Active Directory" и затем настройки для "любого сервера LDAP, который не является Active Directory"...
2 ответа
Проблема с «соответствием» стандартами состоит в том, что редко редко, что сущность или часть программного обеспечения действительно на 100% соответствует всем возможным уважениям. Вместо этого в отсутствие некоторых руководящих принципов или правил, используя фразу «Соответствующее», как правило, означает, что реализующая организация считает, что программное обеспечение удовлетворяет мясу спецификации.
Например, возьмите уровень CSS 2. Большинство современных браузеров сегодня претендуют на «CSS 2, совместимые», но это не так, что каждый такой браузер реализует 100% спецификации. Тем не менее, пользователи, скорее всего, найдут опыт оказания примерно равным для значительной доли случаев. Таким образом, соблюдение имеет тенденцию быть указано сочетанием:
- претензий исполнителей (например, Mozilla, выпускающей заявление о том, что Firefox 3.5 - CSS 2, совместимый)
- , третий тест (например, кислотные испытания)
Это так же одинаково здесь с AD и LDAP «Соответствие». Документ, который вы связываете намекнув на отсутствие каких-либо соответствия или соответствия директивам, и поэтому Microsoft здесь предприняла (разумные, ИМО) позиции, которую «Декларации поставщиков сочетаются с сторонними люксами тестирования, являются наиболее подходящими альтернативами». По сути, это означает, что если обменные и другие объекты утверждают, что тесты на соответствие требованиям LDAP, которые измеряют соответствие стандарту, затем эффективно они соответствуют.
К сожалению, Active Directory ломает многие вещи LDAP, и «однозначность» - лишь одна из них.
Я начинаю задаваться вопросом, является ли это одной из причин, почему так много приложений, которые имеют какую-то «интеграцию LDAP», обычно имеют совершенно отдельную страницу настроек для «Active Directory» ...
Совершенно верно.
Есть ли у кого-нибудь исчерпывающий список различий между подключением к Active Directory и запросом к ним по сравнению с другими серверами каталогов (OpenLDAP, eDirectory и т. Д.)?
Я не видел ни одного. Но схема Active Directory хорошо документирована в MSDN, поэтому вы всегда можете проверить разницу.