Мы стремимся улучшить стандартизацию и качество данных в нашем активном каталоге. При этом мы обнаружили несоответствия в формате distinguishedName; конкретно формат CN сам. У нас часто бывает разумная (но никогда не 100%) согласованность внутри одного юридического лица (OU верхнего уровня), но в этих организациях используются разные форматы. Наиболее распространены:
GivenName + ' ' + Surname например "Джон Беван"Surname + ', ' + GivenName например "Беван, Джон"string.ToUpper(SURNAME) + ' ' + GivenName например "БЕВАН Джон"sAmAccountName например "ukjlb023"Есть ли какие-то рекомендации относительно того, что является хорошим форматом, или какие соображения необходимо учитывать при принятии этого решения?
givenName вам придется добавить дополнительное значение ко многим записям, чтобы избежать конфликтов для всех, кроме самых редких имен).Surname + ', ' + GivenName включает запятую, которая является специальным символом в DN, значит, нужно убежать. Избегая использования специальных символов в CN, мы тем самым ограничиваем влияние ошибок в программном обеспечении / запросах / сценариях (у этого есть также обратная сторона в том, что такие ошибки, следовательно, с большей вероятностью останутся незамеченными).givenName первый.John \"JB\" Bevan (escape-символы необходимы в DN, но не в CN).Верны ли мои предположения, или это просто чрезмерное осмысление проблемы / решение проблемы?
Нужно ли принимать во внимание другие соображения?
NB: Есть связанный с этим вопрос: https://stackoverflow.com/questions/7814569/what-do-people-use-for-cn-with-inetorgperson-in-ldap-directories - хотя это сосредоточено вокруг части обсуждения «как избежать столкновений».
По моему опыту, нет. Я видел огромные организации (более 100 000), которые с течением времени приняли разные форматы и в них царит беспорядок. Я думаю, что некоторые организации используют givenName surName, потому что это значение по умолчанию.
Что нужно иметь в виду для крупных глобальных организаций: я видел места, где женщины могут не захотеть использовать свою фамилию или половину мужчин зовут Мухаммад, я видел односимвольные имена, такие как 's', или фамилия такая долго они сокращают его до «M», поэтому комбинация givenName / surName может не работать так же хорошо, как в западных культурах.
Еще есть тема приобретений. В зависимости от того, как обрабатывается приобретение, можно получить несколько каталогов, мета-каталог и несколько форматов. Стандартизация того, что используется для CN, может не иметь высокого приоритета. Или они могут использовать «стандартный» формат cn для сотрудников, которые впоследствии будут переведены на работу, так что это что-то вроде мошпита.
Cn = samAccountName может показаться логичным, если samAccountName имеет стандартизованный формат. Некоторые организации позволяют людям выбирать свое имя пользователя, поэтому, если кто-то выберет «jj89» в качестве имени пользователя, это может не привести к желаемому результату.
Некоторые организации вообще не полагаются на cn, но используют идентификатор сотрудника, который имеет стандартный формат и хранится в другом атрибуте.
Я бы не стал беспокоиться о персонажах, которых нужно экранировать. Отличительное имя может содержать почти любой символ, и люди, которые работают с каталогами LDAP, должны знать, какие символы нужно экранировать.