active-directory - Active Directory 真的符合 LDAP 标准吗？

Question

我正在为我们的一个产品(RMS)开发一个插件，该插件将允许客户将存储在其 LDAP 目录中的员工信息导入我们应用程序中相应的个人记录。

我们的 RMS 允许人员记录具有多个姓名和地址(这是一个公共(public)安全系统:此功能用于支持具有 AKA 和多个已知地址的人员)。由于软件的性质，如果 LDAP 服务器支持，我们认为从 LDAP 中提取多个名称和地址将非常有用。

我的印象是 Active Directory 会支持这一点，但它似乎根本不支持。看RFC 2256 ，例如第 5.41 和 5.42 节，很明显 givenName旨在成为多值字段(即语法未指定 SINGLE-VALUE ，并且 RFC 2252 声明“多值”是默认值)。 cn 也是如此。 , sn , streetAddress ，以及我费心查找的大多数其他“标准”属性。

微软own documentation似乎表明它们符合 RFC 2256:

Currently, Windows 2000 Active Directory reaches LDAP compliance through support of the following RFCs.

[RFC 2256 is then listed among the various "supported" RFCs, under the heading "Core LDAP Requirements – RFC 3377"]

RFC 3377声明 RFC 2256 确实是 8 个 RFC 集合的一部分，这些 RFC 共同构成了 LDAPv3 的完整技术规范。

我很困惑:不会不遵循标准属性的实际建议语法，例如 givenName等。是否构成“违规”？

此外，是否有人明确列出了连接和查询 Active Directory 与其他目录服务器(OpenLDAP、eDirectory 等)之间的区别？这是一个 VB6 应用程序，所以我一直在使用 ADSDSOObject ADODB 提供程序。最初我以为我可以为任何目录服务器编写相同的代码，只要我使用标准属性就可以让它工作，但显然如果相同的属性在某些实现中定义为单值而在其他实现中定义为多值，我'将不得不编写代码来处理这种情况。

我开始怀疑这是否是为什么这么多具有​​某种“LDAP 集成”的应用程序通常有一个完全独立的“Active Directory”设置页面，然后是“所有其他 LDAP 服务器”的设置的原因之一t 事件目录”...

Answer 1

“遵从”标准的问题在于，很少有实体或软件在所有可能的方面真正 100% 兼容。相反，在没有某些指导方针或规则的情况下，使用“合规”一词通常意味着实现实体认为软件满足规范的实质。

例如，以 CSS 2 级为例。当今大多数现代浏览器都声称“符合 CSS 2 标准”，但并非每个此类浏览器都 100% 实现规范。尽管如此，用户可能会发现大部分情况下的渲染体验大致相同。因此，合规性往往通过以下组合来表示:

实现者的声明(例如，Mozilla 发表声明说 Firefox 3.5 符合 CSS 2)

第三方测试(例如酸测试)

这与 AD 和 LDAP “合规性”的方式大致相同。您链接的文档暗示没有任何合规性或一致性指令，因此微软在这里采取了(合理的，IMO)立场，即“供应商声明与第三方测试套件相结合是最合适的替代方案”。从本质上讲，这意味着如果 Exchange 和其他声称 LDAP 合规性的实体通过了衡量标准合规性的测试，那么它们实际上就是合规的。