Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

4.2.3. エントリーの命名

ディレクトリーツリーの階層を設計したら、構造内のエントリーに名前を付ける時に使用する属性を決定します。通常、1 つ以上の属性値を選択して 相対識別名 (RDN) を形成することで、名前は作成されます。RDN は DN 内の単一のコンポーネントです。これは最初に表示されるコンポーネントであるため、そのコンポーネントに使用される属性は、エントリーに一意の名前を設定するため、命名属性 になります。使用する属性は、名前が付けられるエントリーのタイプによって異なります。
エントリー名は、以下のルールに従う必要があります。
  • 命名用に選択される属性は、変更されてないけません。
  • この名前は、ディレクトリー全体で一意でなければなりません。
    一意の名前により、DN は最大でも 1 つのディレクトリー内のエントリーを確認できるようになります。
エントリーの作成時に、エントリー内で RDN を定義します。エントリー内で最小限の RDN を定義することで、エントリーを簡単に見つけることができます。これは、検索は実際の DN に対しては実行されませんが、エントリー自体に保存されている属性値に対して実行されるためです。
属性名には意味があります。したがって、表現するエントリーのタイプとマッチする属性名を使用します。たとえば、組織を表すのに l を使用しないでください。また、組織単位を表すのに c を使用しないでください。

4.2.3.1. 人物エントリーの命名

人物エントリーの名前、DN は一意である必要があります。従来から、識別名は commonName または cn 属性を使用して人物エントリーに名前を付けます。つまり、Babs Jensen という名前の人物のエントリーの識別名は cn=Babs Jensen,dc=example,dc=com となります。
共通名を使用すると、エントリーと人物の関連付けが容易になりますが、同じ名前のユーザーを除外するほど十分に一意ではない可能性があります。これにより、直ぐに DN 名の競合 と呼ばれる、同じ識別名を持つ複数のエントリーが存在する問題が発生します。
cn=Babs Jensen+employeeNumber=23,dc=example,dc=com など、一意識別子を共通名に追加して、一般的な名前の競合を回避します。
ただし、これにより、大規模なディレクトリーでは共通名が不便になり、管理が困難になる可能性があります。
より適切な方法は、cn 以外の属性で人物エントリーを特定することです。以下の属性のいずれかを使用することを検討してください。
  • uid
    uid 属性を使用して、人物の一意の値を指定します。可能性としては、ユーザーログイン ID または従業員番号が含まれます。ホスト環境のサブスクライバーは uid 属性で識別する必要があります。
  • mail
    mail 属性には、常に一意の人物のメールアドレスが含まれます。このオプションを使用すると、重複した属性値が含まれる不便な DN (例: mail=bjensen@example.com,dc=example,dc=com) が発生する可能性があるため、uid 属性で使用する別の一意の値がない場合に限りこのオプションを使用します。たとえば、企業が一時社員または契約社員に従業員番号やユーザー ID を割り当てない場合は、uid 属性ではなく mail 属性を使用します。
  • employeeNumber
    inetOrgPerson オブジェクトクラスの従業員の場合は、employeeNumber のような雇用主が割り当てた属性値を使用することを検討してください。
人物エントリー RDN に使用される属性/データのペアに関係なく、それらが一意の永続的値であることを確認してください。人物エントリー RDN も読み取り可能でなければなりません。たとえば、uid=bjensen,dc=example,dc=com は、uid=b12r56A,dc=example,dc=com を使用することが推奨されます。これは、認識可能な DN が、識別名に基づいてディレクトリーエントリーを変更するなど、一部のディレクトリータスクを単純化するためです。また、一部のディレクトリークライアントアプリケーションは、uid および cn 属性に人間が判読できる名前が使用されることを想定しています。

ホストされる環境の人物エントリーに関する考慮事項

人物がサービスへのサブスクライバーである場合、エントリーのオブジェクトクラスは inetUser になり、エントリーに uid 属性が含まれている必要があります。属性は、顧客サブツリー内で一意である必要があります。

人物がホスト組織の一部である場合には、nsManagedPerson オブジェクトクラスを持つ inetOrgPerson として表現します。

DIT への人物エントリーの配置

以下は、ディレクトリーツリーに人物エントリーを配置するためのガイドラインです。

  • エンタープライズ内のユーザーは、組織のエントリー下のディレクトリーツリーに置く必要があります。
  • ホスト組織へのサブスクライバーは、ホストされる組織の ou=people ブランチ下に配置する必要があります。