Прочитать на английском

Поделиться через


Путь служб AD к LDAP

Для ADsPath поставщика LDAP Майкрософт требуется следующий формат.

LDAP://HostName[:PortNumber][/DistinguishedName]

Примечание

Символы левой и правой скобки ([ ]) указывают необязательные параметры; это не литеральная часть строки привязки.

 

Имя узла может быть именем компьютера, IP-адресом или доменным именем. Имя сервера также можно указать в строке привязки. Большинство поставщиков LDAP следуют модели, требующей указания имени сервера.

Параметр PortNumber указывает порт, используемый для подключения. Если номер порта не указан, поставщик LDAP использует номер порта по умолчанию. Номер порта по умолчанию — 389, если не используется SSL-подключение или 636 при использовании SSL-подключения.

Значение "Различающееся имя" указывает различающееся имя определенного объекта. Различающееся имя данного объекта гарантированно будет уникальным.

В следующей таблице перечислены примеры строк привязки.

Пример LDAP ADsPath Description
LDAP: Привязка к корню пространства имен LDAP.
LDAP://server01 Привязка к конкретному серверу.
LDAP://server01:390 Привязка к определенному серверу с помощью указанного номера порта.
LDAP://CN=Jeff Smith,CN=users,DC=fabrikam,DC=com Привязка к конкретному объекту.
LDAP://server01/CN=Jeff Смит,CN=users,DC=fabrikam,DC=com Привязка к конкретному объекту через определенный сервер.

 

Если для успешного завершения запроса каталога требуется проверка подлинности Kerberos, строка привязки должна использовать бессерверное ADsPath, например LDAP://CN=Jeff Smith,CN=users,DC=fabrikam,DC=com, или использовать ADsPath с полным DNS-именем, например LDAP://server01.fabrikam.com/CN=Jeff Смит,CN=users,DC=fabrikam, DC=com. Привязка к серверу с помощью неструктурированного имени NE ТБ IOS или короткого DNS-имени, например с помощью сервера имен01 вместо server01.fabrikam.com, не гарантируется, что проверка подлинности Kerberos гарантируется.

Дополнительные сведения и примеры строк привязки LDAP, а также описание специальных символов, которые можно использовать в строках привязки LDAP, см. в статье LDAP ADsPath.

Windows 2000 с пакетом обновления 1 (SP1) и более поздней версии: если строка привязки содержит имя сервера, можно повысить производительность с помощью флага ADS_SERVER_BIND с функцией ADsOpenObject или методом IADsOpenDSObject::OpenDSObject. Флаг ADS_SERVER_BIND указывает, что указано имя сервера, которое позволяет ADSI избежать дополнительного, ненужного сетевого трафика.

Специальные символы LDAP

LDAP имеет несколько специальных символов, зарезервированных для использования API LDAP. Список специальных символов можно найти в различающихся именах. Чтобы использовать один из этих символов в ADsPath без создания ошибки, символ должен предшествовать символу обратной косой черты (\). Это называется экранированием символа. Например, если имя пользователя указано в виде фамилии<>,< имени>, запятой в значении имени должно быть экранировано. Результирующая строка будет выглядеть следующим образом:

LDAP://CN=Smith\,Jeff,CN=users,DC=fabrikam,DC=com

Экранированный символ также можно указать двумя шестнадцатеричными шестнадцатеричными кодами символов. Это показано в следующем примере.

LDAP://CN=Smith\2CJeff,CN=users,DC=fabrikam,DC=com

Непечатаемые символы, такие как возврат канала строки и каретки, должны быть экранированы и указаны в двухзначном шестнадцатеричном коде символов. Это показано в следующем примере.

LDAP://CN=Line\0AFeed,CN=users,DC=fabrikam,DC=com

Дополнительные сведения

Дополнительные сведения о различающемся имени, используемом службами каталогов, совместимыми с LDAP, см. в статье https://www.ietf.org/rfc/rfc1779.txt.