Un servicio de directorio (SD) es una aplicación o un conjunto de aplicaciones que almacena y organiza la información sobre los usuarios de una red de ordenadores, sobre recursos de red, y permite a los administradores gestionar el acceso de usuarios a los recursos sobre dicha red. Además, los servicios de directorio actúan como una capa de abstracción entre los usuarios y los recursos compartidos.
Un DIT (Directory Information Tree) es datos representados jerárquicamente en una estructura tipo árbol consistente de nombres distinguidos (DN) de las entradas de un servicio de directorio.
Típicamente LDAP utiliza árboles jerárquicos de directorio como el fundamento de su estructura de datos.
Un DIT (o árbol LDAP en el sentido más genérico) representa a una simple organización, consistente en dos partes:
• Un nivel tope, representado por el nombre de la organización en si mismo, como una BASE DN.
• El resto de la organización organizada de forma jerárquica
Los niveles tope de una organización por lo general representan divisiones geográficas o socio-políticas, en general, se utiliza el nombre de la organización siguiendo la notación del Sistema de Nombres de Dominio y representados en la forma de DC (Domain Components):
Ejemplo. Un dominio «ejemplo.com» tendrá el nombre distinguido (DN) de «dc=ejemplo,dc=com».
MM NOTA: A un conjunto de árboles (DIT) de organizaciones dispuestos en un único servidor LDAP se le conoce con el nombre de Bosque (Forest).
Una estructura Organizacional DIT se conoce como a todos los elementos de la organización representados en ese directorio (usuarios, roles, grupos, equipos y unidades organizacionales).
Un DIT organizacional puede ser modelado de acuerdo a diferentes técnicas, los factores que lo determina son:
• Requerimientos de una aplicación que esté buscando los datos en ese directorio
• El requerimiento básico de proveer un nombre único por cada entrada
• Estabilidad de la estructura de directorio
• Que las ramas (DN) sean leíbles y entendibles por humanos
• La facilidad de importar<>exportar datos entre el LDAP y diversas aplicaciones.
La regla más básica a la hora de definir una eficiente estructura DIT organizacional es el principio «piensa en grande, comienza pequeño», en este caso, si una empresa tiene la posibilidad de tener más de un TLD de tipo geoǵrafico y estos no ameritan estar en árboles distintos (agregando complejidad al DIT), entonces se puede asumir que el criterio DC (Domain Component) es equivocado y se puede disponer de un criterio más eficiente usando O (Organization).
En su forma más básica, un DIT debe contener la organización y las ramas (DSE) más necesarias para contener a la organización misma, sus equipos, sus personas, sus grupos y unidades funcionales, además debe contener sus aplicaciones y servicios distribuidos:
Ejemplo. Para una organización llamada Ejemplo, dominio «ejemplo.com»
dc=ejemplo,dc=com
ou=equipos
ou=grupos
ou=Grupos Globales
cn=administradores
ou=servicios
ou=dominios
sambaDomainName=EJEMPLO
ou=kerberos
cn=EjemploRealm
ou=sudo
sudoRole=%administradores
ou=organizacion
ou=usuarios
ou=Unidad Funcional
ou=grupos
ou=aplicaciones
ou=nagios
También podemos «redirigir» los esfuerzos en un DIT para una organización multi-dominio de la siguiente manera:
Ejemplo. Para una Organización llamada ejemplo, con múltiples dominios:
o=ejemplo ou=servicios Globales ou=DNS cn=domainName=ejemplo.com.ve cn=domainName=ejemplo.com.co ou=dominios dc=ve sambaDomainName=ejemplo.com.ve ou=servicios ou=kerberos cn=RealmVE ou=grupos ou=usuarios ou=equipos