Un árbol de información de directorio ( DIT ) son datos representados en una estructura jerárquica similar a un árbol que consta de los nombres distinguidos (DN) de las entradas del servicio de directorio .
Tanto los protocolos X.500 como el Protocolo ligero de acceso a directorios (LDAP) utilizan árboles de información de directorios como su estructura de datos fundamental.
Normalmente, una implementación X.500 o LDAP para una sola organización tendrá un árbol de información de directorio que consta de dos partes:
- una estructura de nombre de nivel superior para el nombre de la propia organización
- una representación de la estructura del modelo de datos dentro de la organización
Nomenclatura de nivel superior
El nivel superior de un árbol de información de directorio suele representar divisiones políticas y geográficas.
La suposición original de X.500 era que todos los servidores de directorio estarían interconectados para formar un único espacio de nombres global . Las entradas en el nivel superior del árbol correspondían a países, identificados por su código de país de dos letras ISO 3166 . Las entradas subordinadas a la entrada de un país corresponderían a estados o provincias y organizaciones nacionales. El sistema de nombres de un país en particular lo determinaba el organismo nacional de normalización o el proveedor de telecomunicaciones de ese país.
Una limitación de la estructura del árbol de información del directorio original era la suposición de que las aplicaciones que buscaban una entrada en una organización en particular navegarían por el árbol del directorio al navegar primero al país en particular donde estaba ubicada esa organización, luego a la región donde estaba ubicada esa organización. luego ubique la entrada de la propia organización y luego busque dentro de esa organización la entrada en cuestión. El deseo de apoyar la búsqueda más amplia de una persona individual cuando no se conocían todos los detalles de la ubicación u organización de esa persona llevó a experimentos en el despliegue e interconexión de directorios, como el Protocolo de Indexación Común .
Hoy en día, la mayoría de las implementaciones de LDAP, y en particular las implementaciones de Active Directory , no están interconectadas en un solo espacio de nombres global y no utilizan códigos de países nacionales como base para la denominación. En cambio, estas implementaciones siguen una estructura de directorio que en el nivel superior refleja la del Sistema de nombres de dominio , como se describe en RFC 2247. Por ejemplo, la entrada para una organización con el nombre de dominio "example.com" tendría un nombre distinguido de " dc = example, dc = com ", y todas las entradas en el árbol de información del directorio de esa organización contendrían ese sufijo de nombre distinguido.
Estructura organizativa
Los elementos de una organización representados en el directorio (por ejemplo, personas, roles o dispositivos) en un DIT pueden modelarse mediante una variedad de técnicas. Los factores determinantes incluyen:
- requisitos de las aplicaciones que buscarán y actualizarán el directorio
- el requisito de proporcionar un nombre único para cada entrada
- el deseo de estabilidad de la estructura del directorio
- el deseo de legibilidad humana de los nombres distinguidos de las entradas en el directorio
- la facilidad de importar datos al directorio desde bases de datos existentes y otros directorios
Las primeras implementaciones de X.500 dentro de corporaciones e instituciones con entradas que representan a los empleados de esas organizaciones a menudo usaban una estructura DIT que reflejaba la estructura organizativa, con entradas de unidades organizativas correspondientes a departamentos o divisiones de la organización. Los nombres distintivos relativos de las entradas para los empleados a menudo se formaron a partir de los nombres comunes de los empleados individuales. Un ejemplo de DN de una implementación temprana de X.500 / LDAP podría ser "cn = Joe Bloggs, ou = Marketing, ou = Operations, o = Example Corporation, st = CA, c = US". La desventaja de este enfoque es que cuando se cambia la estructura organizacional, o si los empleados cambian su nombre legal, puede requerir el movimiento o cambio de nombre de las entradas en el directorio, lo que agrega complejidad y gastos generales y también puede alterar las aplicaciones no diseñadas para lidiar con gracia con tales movimientos.
Hoy en día, muchas implementaciones grandes de X.500 o LDAP utilizan un espacio de nombres único y plano para las entradas y eligen nombrar las entradas para las personas en función de un nombre distinguido relativo que es un identificador asignado por la organización, como un nombre de usuario o un empleado. número. Hoy en día, un DN puede parecerse a "uid = 00003, ou = People, dc = example, dc = com". La ventaja de esta estructura es que no es necesario mover las entradas incluso cuando los empleados cambian su nombre o se transfieren a diferentes departamentos. Estos cambios se pueden efectuar mediante una simple modificación de atributo, y las aplicaciones que pueden estar usando el DN como un identificador único (por ejemplo, en una base de datos) no necesitan ser tocadas.