অ্যাক্টিভ ডিরেক্টরি বিরুদ্ধে প্রমাণীকরণ করার সময় কোন ক্ষেত্রটি ব্যবহার করতে হবে?

12

অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী অবজেক্টগুলিতে এমন একটি ক্ষেত্র রয়েছে যা সনাক্তকারী হিসাবে বিবেচিত হতে পারে। নিম্নলিখিতগুলিতে এডিইউসিতে তাদের লেবেল এবং তাদের বৈশিষ্ট্যটির নামগুলির সাথে এর কয়েকটি তালিকাবদ্ধ করে:

পুরো নাম - সিএন
? - নাম
ব্যবহারকারীর sAMAccountName লগন - sAMAccountName
ব্যবহারকারী ইউপিএন লগন: ইউজারপ্রিন্টালাল নেম
? - বিশিষ্ট নাম

AD এর বিরুদ্ধে প্রমাণীকরণকারী কাস্টম কোড লেখার সময় আমি আমাদের বিকাশকারীদের কেবলমাত্র এটির একটিরই প্রমিতকরণের চেষ্টা করার চেষ্টা করছি - সমস্যাটি আমি নিশ্চিত নই যে "ডান" কোনটি, বা যদি ভিন্ন ভিন্ন ভিন্ন ভিন্ন হয় তবে পরিস্থিতি। আমি উপরের ক্ষেত্রগুলির কোনওটি ব্যবহার করা উচিত তাও নিশ্চিত নই!

অন্য কেউ কি একযোগে ব্যবহার করার জন্য বেছে নিয়েছে এবং সেই সিদ্ধান্তে আপনাকে কী প্রভাবিত করেছে? কোন ডকুমেন্টেশন যে বিষয়টি স্পষ্ট করে?

active-directory ldap authentication

— dunxd
সূত্র

আমি কয়েকটি অ্যাপ্লিকেশনের মুখোমুখি হয়েছি (উভয় অভ্যন্তরীণভাবে বিকাশিত এবং অন্যান্য ব্যক্তিরা করেছেন) যা সিএন ফিল্ডটি ব্যবহার করে এলডিএপি মাধ্যমে প্রমাণীকরণ করে। এই ক্ষেত্রটি এখন AD প্রশাসক কেন্দ্রে স্বয়ংক্রিয়ভাবে আপডেট হয়ে যায় (এটির পুরো নাম লেবেলযুক্ত) যদি আপনি প্রথম বা শেষ নাম ক্ষেত্র পরিবর্তন করেন, যার অর্থ আপনি অনুমান করতে পারবেন না যে সিএন ফিল্ডটি ব্যবহারকারীর নাম ক্ষেত্র হিসাবে বিবেচনা করা যেতে পারে। এই বিকাশকারীরা কি ভুল ক্ষেত্রটি ব্যবহার করছেন, বা মাইক্রোসফ্ট সিএন ভেঙেছে?

— ডানক্সড

18

একটি সিএন (সাধারণ নাম) লগ ইন করার পক্ষে ভাল নয়, কারণ কোনও সিএন এককভাবে কোনও ব্যবহারকারীকে অনন্যভাবে সনাক্ত করে না। আমি একটি থাকতে পারে

CN=Ryan Ries,OU=Dallas,DC=Domain,DC=com

এবং আমি একটি থাকতে পারে

CN=Ryan Ries,OU=New York,DC=Domain,DC=com

ব্যবহারকারীর সিএনও একটি আরডিএন (আপেক্ষিক বিশিষ্ট নাম)) তাদের একই সিএন রয়েছে তবে ভিন্ন ভিন্ন ডিএন রয়েছে। আপনি খেয়াল করতে পারেন যে আপনার সংস্থায় রায়ান রিস নামে দু'জন লোক থাকলে আপনি সমস্যার মধ্যে পড়ে যাচ্ছেন এবং দ্বিতীয়টির মতো আপনাকে স্যামএকাউন্টনাম তৈরি করতে হবে rries2।

একটি ডিএন (বিশিষ্ট নাম) লগ ইন করা ভাল নয়, কারণ কে একটি ব্যবহারকারী নাম মত একটি সিস্টেমে লগ ইন করতে চায় CN=ryan,OU=Texas,DC=brazzers,DC=com? ডিএন ব্যবহার করার সময় কোনও অনন্যতা এবং নির্ভুলভাবে কোনও ব্যবহারকারীকে সনাক্ত করতে পারে, এটি টাইপ করে ফেলে রাখা বিরক্তিকর। এটি ফাইল সিস্টেমের আপেক্ষিক পাথ এবং পরম পাথগুলির মধ্যে একই ধরণের ধারণা। এটি সূচিত করে যে আপনি ডিরেক্টরি কাঠামোটিতে অবজেক্টটি সন্ধান না করে কোথায় অবস্থিত তা ঠিক জানেন। যা আপনি প্রায়শই করেন না।

একে অ্যামবিগিউস নেম রেজোলিউশন (এএনআর) বলা হয় - যখন কোনও ব্যবহারকারীর কাছে তার আলাদা আলাদা নাম না থাকে তার জন্য ডিরেক্টরি অনুসন্ধান করা হয়।

ইউপিএন (ব্যবহারকারীর প্রধান নাম) বেশ ভাল কারণ তারা ইমেল ঠিকানার মতো দেখতে, তারা ব্যবহারকারীর কর্পোরেট ইমেল ঠিকানার মতো হতে পারে, তাদের মনে রাখা সহজ, এবং তারা লগ ইন করতে পছন্দ করে কারণ নামটি অনুসন্ধান করা হবে প্রথমে স্থানীয় ডোমেনে, বনে অনুসন্ধানের আগে।

মাইক্রোসফ্ট বলেছে: ইউপিএন-এর মূল বিষয়টি হল ইমেল এবং লগনের নেমস্পেসগুলি একীকরণ করা যাতে ব্যবহারকারীর কেবলমাত্র একটি নাম মনে রাখা প্রয়োজন। ইউপিএন হ'ল উইন্ডোজ ব্যবহারকারীদের পছন্দের লগন নাম। ব্যবহারকারীদের ডোমেনে লগ ইন করতে তাদের ইউপিএন ব্যবহার করা উচিত। লগনের সময়, কোনও ইউপিএন প্রথমে স্থানীয় ডোমেন, তারপরে বৈশ্বিক ক্যাটালগ অনুসন্ধান করে বৈধ হয়। স্থানীয় ডোমেনে ইউপিএন খুঁজে পেতে ব্যর্থতা বা জিসি ইউপিএন প্রত্যাখ্যানের ফলস্বরূপ। ইউপিএন বরাদ্দ করা যেতে পারে, তবে প্রয়োজন হয় না , যখন ব্যবহারকারী অ্যাকাউন্ট তৈরি করা হয়।

আপনার অ্যাপ্লিকেশনগুলি ডিজাইন করার সময় শেষে "প্রয়োজনীয় নয়" মনে রাখবেন।

স্যামএকাউন্টনামটিও ভাল কারণ স্যামএকাউন্টনেম ডোমেনের প্রত্যেকের জন্যই অনন্য হওয়া দরকার (তবে বন নয়) বেশিরভাগ লোকেরা সাম্যঅ্যাকাউন্টনামের সাথে লগইন করে, যদিও তারা আপনাকে কোনও এডি বনাঞ্চলে স্বতন্ত্ররূপে সনাক্ত করে না, এজন্য আপনাকে নিজের স্যামকাউন্টনামের সাথে যেতে একটি ডোমেন নাম নির্দিষ্ট করতে হবে যাতে সিস্টেমটি জানতে পারে আপনি কোন ডোমেইনে লগ ইন করতে চাইছেন ।

আরও পড়ার জন্য এখানে ইস্যুতে কয়েকটি দুর্দান্ত ডকুমেন্টেশন রয়েছে:

http://msdn.microsoft.com/en-us/library/windows/desktop/ms677605(v=vs.85).aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/ms680857(v=vs.85).aspx

— রায়ান রিস
সূত্র

4

কেউ যদি লগইন করতে টাইপ করে এমন কিছু হিসাবে আপনি ব্যবহারকারীর নাম উল্লেখ করে থাকেন তবে আমি প্রস্তাব দেব sAMAccountName, যা কোনও ডোমেইনের নামের সাথে মিলিয়ে অনন্য হবে, বা userPrincipalName, যা বনের মধ্যে অনন্য হবে।

অনন্য সনাক্তকারী হিসাবে ইউজার নেম হিসাবে, উইন্ডোজ সমস্ত অ্যাক্সেস নিয়ন্ত্রণ এন্ট্রিগুলির জন্য এসআইডি ব্যবহার করে এবং ব্যবহারকারীর নাম থেকে এসআইডিগুলিতে অনুবাদ করার জন্য সম্পূর্ণ পদ্ধতির সম্পূর্ণ সেট সরবরাহ করে। কোনও অ্যাকাউন্টের আজীবন এসআইডি ব্যবহারকারীর রূপকের সাথে মেলে, কারণ কোনও ডোমেনের নাম পরিবর্তন এবং চলনগুলির কোনও প্রভাব নেই, তবে মুছে ফেলা এবং নতুন এসআইডি-তে ফলাফল পুনঃনির্মাণ করা।

যে শেষে, আমি কল করবে LookupAccountNameযা একটি স্ট্রিং ব্যবহারকারীর নাম প্রতিনিধিত্বমূলক নেয় এবং ফেরৎ, sAMAccountName, SIDডোমেইন ব্যবহারকারী পাওয়া যায়নি এবং ডোমেন নাম।

এরপরে ব্যবহারকারীরা লগ ইন করতে উইন্ডো দ্বারা সমর্থিত যেকোন সিনট্যাক্স ব্যবহার করতে পারে এবং অতিরিক্ত প্রশিক্ষণের প্রয়োজন হয় না।

— মিচ
সূত্র

লুপআপএকাউন্টনাম ইউপিএন বা স্যামকাউন্টনাম বা পুরোপুরি যোগ্যতাসম্পন্ন DOMAIN \ sMAccountName, বা উপরের সমস্তটি গ্রহণ করে? আপনার লিঙ্ক করা ডকুমেন্টেশন থেকে এটি পরিষ্কার নয়।

— dunxd

ডকুমেন্টেশন তালিকা ফরম্যাটের এটা সমর্থন করে: DOMAIN\Account, DOMAIN.COM\Account, Account, Account@DOMAIN.COM। এটি বলে যে পুরোপুরি যোগ্যতাসম্পন্ন নামগুলি দ্রুত, তবে অন্যগুলি এখনও উপলব্ধ।

— মিচ

0

আমি ব্যবহারকারীকে যে নামেরটি তিনি ব্যবহার করতে চান তার ফর্ম্যাট চয়ন করতে এবং অ্যাপ্লিকেশনটির দিকে ব্যবহারকারীর ইনপুট নির্ধারণ করার পরামর্শ দেওয়ার পরামর্শ দেব। উদাহরণস্বরূপ: যদি ব্যবহারকারী টাইপ করে থাকে: ব্যবহারকারীর নাম@domain.com - এটিকে ইউপিএন হিসাবে বিবেচনা করুন এবং ইউপিএন-এ অনুসন্ধান করুন। যদি ব্যবহারকারী টাইপ করে থাকে: ব্যবহারকারীর নাম - এটি একটি পূর্বনির্ধারিত ডিফল্ট ডোমেনের জন্য সাম্যাক্যাক্টনাম হিসাবে বিবেচনা করুন এবং অবশ্যই যদি ব্যবহারকারীর ডোমেন \ ব্যবহারকারীর নাম টাইপ করে - তবে নির্দিষ্ট ডোমেন থেকে এটি সাম্যাক্যান্টাউন্ট হিসাবে বিবেচনা করুন। সর্বদা ব্যবহারকারীর এসআইডি পুনরুদ্ধার করুন এবং এসআইডিকে সমস্ত অনুমতি বরাদ্দ করুন কারণ লোকেরা বিবাহ করে এবং ব্যবহারকারীর নাম পরিবর্তন করতে পারে।

— স্ট্যান
সূত্র