什么'；当LDAP用户'；什么是DN变化？

当某个注册用户的DN发生更改时，通过LDAP进行身份验证的应用程序是否有任何预期/标准化行为？（或者更一般地说，当他们的有效主体发生变化时，这似乎通常是他们的DN。从这里我会说“主体”，尽管我通常认为是“DN”。）

下面是Gitlab遇到此问题的一个示例：

在他们的案例中（基于该问题中的链接），他们似乎通过使用多个属性而不是单个属性来标识用户来解决这个问题，因此单个更改不会阻止他们映射回同一个LDAP用户

在我看来，可用的选择是：

不要试图阻止该问题，但提供一些方法来更改存储的主体（在应用程序中或通过DB修改）

尝试通过选择（用户自动或手动）更好的静态用户属性作为主体来防止问题

尝试通过交叉引用多个属性来缓解此问题，如上面的链接所示

---

以下哪种方法是预期的/最佳的方法，如果有的话？

这取决于您的配置、dn中的更改以及这些更改是否影响所有用户。编辑您的帖子：在修改之前/之后添加您当前的配置和dn。这不是一个内部工具，因此我无法保证我们的客户可能会使用哪些DNs或属性。因此，在本次讨论中，任何“示例”配置都是没有意义的（这意味着无论如何都是一般性的）。听起来似乎没有答案，这对于通过LDAPE进行软件身份验证的任何人来说都是令人讨厌的。您可能不知道用户可能使用的确切dn，但您仍然应该知道要使用哪个ldap属性进行身份验证，以及目标目录中的用户条目应该位于哪个基之下。如果您没有任何基本配置，那么您可能有一些需求和一个可以转换为工作的gitlab ldap配置的服务器配置，否则我看不出您如何得到任何答案。。