Un árbol de información de directorio ( DIT ) son datos representados en una estructura jerárquica similar a un árbol que consta de los nombres distinguidos (DN) de las entradas del servicio de directorio .
Tanto los protocolos X.500 como el Protocolo ligero de acceso a directorios (LDAP) utilizan árboles de información de directorio como su estructura de datos fundamental.
Normalmente, una implementación de X.500 o LDAP para una sola organización tendrá un árbol de información de directorio que consta de dos partes:
El nivel superior de un árbol de información de directorio con frecuencia representa divisiones políticas y geográficas.
La suposición original de X.500 era que todos los servidores de directorio estarían interconectados para formar un único espacio de nombres global . Las entradas en el nivel superior del árbol correspondían a países, identificados por su código de país de dos letras ISO 3166. Las entradas subordinadas a la entrada de un país corresponderían a estados o provincias y organizaciones nacionales. El sistema de nombres para un país en particular lo determinaba el organismo de normalización nacional o el proveedor de telecomunicaciones de ese país.
Una limitación de la estructura original del árbol de información del directorio era la suposición de que las aplicaciones que buscaban una entrada en una organización en particular navegarían por el árbol de directorios primero navegando hasta el país en particular donde se encontraba esa organización, luego hasta la región donde se encontraba esa organización, luego localizarían la entrada de la organización en sí y luego buscarían dentro de esa organización la entrada en cuestión. El deseo de respaldar la búsqueda más amplia de una persona individual cuando no se conocían todos los detalles de la ubicación u organización de esa persona condujo a experimentos en la implementación e interconexión de directorios, como el Protocolo de Indexación Común .
En la actualidad, la mayoría de las implementaciones de LDAP, y en particular las implementaciones de Active Directory , no están interconectadas en un único espacio de nombres global y no utilizan códigos de país nacionales como base para la denominación. En cambio, estas implementaciones siguen una estructura de directorio que en el nivel superior refleja la del Sistema de nombres de dominio , como se describe en RFC 2247. Por ejemplo, la entrada de una organización con el nombre de dominio "example.com" tendría un nombre distintivo de dc=example, dc=com, y todas las entradas en el árbol de información del directorio de esa organización contendrían ese sufijo de nombre distintivo.
Los elementos de una organización representados en el directorio (por ejemplo, personas, roles o dispositivos) en un DIT pueden modelarse mediante una variedad de técnicas. Los factores determinantes incluyen:
Las primeras implementaciones de X.500 en corporaciones e instituciones con entradas que representaban a los empleados de esas organizaciones solían utilizar una estructura DIT que reflejaba la estructura organizacional, con entradas de unidades organizacionales correspondientes a departamentos o divisiones de la organización. Los nombres distintivos relativos de las entradas para empleados se formaban a menudo a partir de los nombres comunes de los empleados individuales. Un ejemplo de DN de una implementación temprana de X.500/LDAP podría ser cn=Joe Bloggs,ou=Marketing,ou=Operations,o=Example Corporation,st=CA,c=US. La desventaja de este enfoque es que cuando se cambia la estructura organizacional, o si los empleados cambian su nombre legal, puede requerirse el traslado o cambio de nombre de las entradas en el directorio, lo que agrega complejidad y sobrecarga y también puede alterar las aplicaciones que no están diseñadas para lidiar con tales traslados sin problemas.
En la actualidad, muchas implementaciones grandes de X.500 o LDAP utilizan un único espacio de nombres plano para las entradas y eligen nombrar las entradas de las personas en función de un nombre distintivo relativo que es un identificador asignado por la organización, como un nombre de usuario o un número de empleado. En la actualidad, un DN puede parecerse a uid=00003,ou=People,dc=example,dc=com. La ventaja de esta estructura es que no es necesario mover las entradas incluso cuando los empleados cambian de nombre o se transfieren a diferentes departamentos. Estos cambios se pueden efectuar simplemente mediante una modificación de atributo y no es necesario modificar las aplicaciones que pueden estar utilizando el DN como un identificador único (por ejemplo, en una base de datos).