Active directory LDAP身份验证的最佳实践是什么？

我想知道使用

OpenLDAP

对用户进行身份验证的最佳实践。我可以使用

cn

执行搜索

但是如果我用类似的

cn

（当然是在不同的祖先下）获得了多个点击，并且他们都使用相同的密码，那会怎么样

我试图使用UID，但后来我得到了一些不使用UID的帐户（比如邮件帐户和管理员

cn

）。另外，当我在admin

cn

下添加一些用户时（没有

uid

），我无法使用admin

cn

登录

标识用户的唯一密钥是什么

---

<强>注：我正在使用<代码> PHPLDAPADMIN <代码>管理C++的活动目录，以及<代码> OpenLDAP < /C> > .< /P> < P>您可以配置OpenLDAP服务器来执行您所选属性。code>CN不是唯一性的最佳选择，我会选择

UID

属性，并制定生成用户名的策略。

你真正想问的是如何个性化用户。电子邮件地址往往是唯一的，“屏幕名称”也是唯一的，除非您正在运行StackOverflow.yea，但即使在管理员cn下也没有电子邮件地址，并且您不能添加电子邮件地址，至少不能从phpldapadmin添加。我正在寻找一种唯一标识用户的通用方法（如果它存在于ldap中，我不知道！）。ldap不会对所有条目强制使用唯一和公共标识符属性。但通常情况下，管理员是。您可以搜索uid或cn。但是，如果搜索返回的条目超过1个，则表示您具有模糊性，无法继续进行身份验证。或者，你可以确保你的管理员有一个唯一的uid（它不必是DN的一部分）。我选择了这个，显然这是最好的选择。