LDAP - 概念、体系结构和设计
什么是LADP
更上一层楼:在目录树中怎么组织数据
在 UNIX 文件系统中,最顶层是根目录(root)。在根目录的下面有很多的文件和目录。象上面介绍 的那样,LDAP 目录也是用同样的方法组织起来的。 在根目录下,要把数据从逻辑上区分开。因为历史上(X.500)的原因,大多数 LDAP 目录用 OU 从 逻辑上把数据分开来。OU 表示“Organization Unit ”,在 X.500 协议中是用来表示公司内部的机构:销 售部、财务部,等等。现在 LDAP 还保留 ou=这样的命名规则,但是扩展了分类的范围,可以分类为: ou=people, ou=groups, ou=devices ,等等。更低一级的 OU 有时用来做更细的归类。例如:LDAP 目 录树(不包括单独的记录)可能会是这样的: dc=foobar, dc=com ou=customers ou=asia ou=europe ou=usa ou=employees ou=rooms ou=groups ou=assets-mgmt ou=nisgroups ou=recipes
上面这些构成了燕麦粥食谱的 LDAP 记录的完整 DN。记住,DN 的读法和 DNS 主机名类似。下面就 是完整的 DN: cn=Oatmeal Deluxe,ou=recipes,dc=foobar,dc=com
举一个实际的例子来说明 DN
现在为公司的员工设置一个 DN。可以用基于 cn 或 uid(User ID),作为典型的用户帐号。例如, FooBar 的员工 Fran Smith(登录名:fsmith)的 DN 可以为下面两种格式: uid=fsmith,ou=employees,dc=foobar,dc=com
雅图的营销办公室需要每分钟更新的美国销售状况的信息,但是欧洲的销售情况就只要每小时更新一 次就行了。
openldap基本概念
openldap基本概念
OpenLDAP是一个开源的轻量级目录访问协议(LDAP)实现,它提供了一种简单的方式来管理和访问目录数据。
下面是OpenLDAP的一些基本概念:
1. 目录(Directory):目录是OpenLDAP用来组织和存储数
据的地方。
它按照树状结构组织数据,每个节点都有一个唯一的标识符(称为DN),节点可以包含属性和属性值。
2. 条目(Entry):条目是目录中的一个单元,它包含一个唯
一的DN标识符和一组属性和属性值。
一个条目可以代表一个
用户、组织、设备等。
3. 属性(Attribute):属性定义了条目的特征和属性值的类型。
它可以是单值的(只有一个属性值)或多值的(有多个属性值)。
4. 属性值(Attribute Value):属性值是属性的具体内容,可
以是字符串、整数、日期等。
一个属性可以有多个属性值。
5. 搜索(Search):搜索是使用LDAP来查找和检索目录数据
的一种方式。
通过指定搜索条件,LDAP可以返回满足条件的
条目。
6. 绑定(Bind):绑定是认证到LDAP服务器的过程,客户
端使用用户名和密码与服务器进行绑定,以便进行后续的操作。
7. 模式(Schema):模式定义了目录中可以存储的对象类型、属性和属性值的规范。
它包含了对象类和属性类型的定义,用于验证和规范目录数据。
这些基本概念可以帮助理解和使用OpenLDAP来管理和访问
目录数据。
ldap组的概念
ldap组的概念LDAP(轻量目录访问协议,Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录信息服务的协议。
LDAP目录服务以树形结构存储数据,这种树形结构由一系列的条目(entry)组成,每个条目包含了一些属性(attribute)和它们的值。
为了更好地管理和查询这些条目,LDAP引入了“组”的概念。
在LDAP中,组是一个具有特定属性和成员关系的条目。
组通常用于表示具有相似特征或需求的用户集合,例如同一部门的员工或具有特定访问权限的用户。
通过将用户添加到相应的组中,管理员可以轻松地管理大量的用户和权限,从而提高整个目录服务的效率和安全性。
LDAP组的属性通常包括组名、组描述、组成员等。
其中,组成员属性是最重要的,它指定了哪些用户或子组属于该组。
通过查询组的成员属性,可以快速地找到具有特定权限或特征的用户集合,从而实现高效的访问控制和权限管理。
LDAP组还支持嵌套组(nested group)的概念,即一个组可以包含其他子组作为其成员。
这种嵌套结构可以方便地表示复杂的组织结构和权限关系,例如公司中的部门、团队和项目组等。
通过合理地组织嵌套组,可以大大简化用户和权限的管理复杂度,提高整个目录服务的可扩展性和灵活性。
除了基本的组和嵌套组之外,LDAP还支持动态组(dynamic group)的概念。
动态组是一种根据特定条件自动更新其成员的组。
例如,可以创建一个动态组来表示最近一周内登录过的用户,或者表示满足特定查询条件的用户集合。
动态组的成员会根据条件的变化而自动更新,从而实现了对用户的实时跟踪和监控。
LDAP组的实现方式也非常灵活,可以根据具体的需求进行定制。
例如,可以通过扩展LDAP模式(schema)来定义自定义的组类型和属性,或者通过编写自定义的LDAP插件来实现特定的组和成员管理逻辑。
这些定制化的实现方式可以满足各种复杂的应用场景和需求,使得LDAP成为一个非常强大和灵活的目录服务解决方案。
LDAP在校园网统一身份认证中的研究
LA DP的体 系结 构由四种基本模型 组成 ,信息模 型描述
摘 要 : 文简要介绍 了 LA 协议 以及 LA 本 DP D P的 四种基本 模型 , 阐述 了统 一身份认证 的思想, 并把 LA D P应用到校 园网统
一
身份认证系统 中。
关键词 :D P 统一身份认证; LA ; 目录服务; 中鉴权 集 中图分类号 : P 1 T32 文献标识码 : A 文章编号 : 6 1 4 9一 2 1 )一 0 8 0 1 7 — 72 (0 0i 08 — 3
LA 的信息表示方 式, DP 命名模型描述 LA DP的数据如何组织, 功能模 型描述 LA DP的数据 操作访 问方式 ,安全模 型描述
LA D P的安全机制瑚。 2 1信息模型 . LA D P信息模型定义 能够在 目录 中存储 的数据类 型和基 本 的信息单位。 LA 在 DP中信息 以树状方式组织, 基本数据单
现, 它基于 X 5 0目录服务 标准, .0 但较之 简单且可 以根 据需
要进行定制 。
元是条 目(nr) ety—— 即关于对 象的信息集 合, 而每 个条 目
~
R s a c f L A i a p s N t o k U i i d d n i y h t e t c t o e e r h o D P n C m u e w r n f e I e t t u h n i a i n
刘 冰 -刘邦桂 z
Li Bi g Li B g i u n u an gu
LDAP的研究与在校园网统一身份认证中的应用
本文由flydr贡献第9卷2期第2004 年4 月株洲师范高等专科学校学报J OU RNAL O F ZHU ZHOU T EACH ERS COLL E GEVol. 9 No . 2 Apr. 2004LDA P 的研究与在校园网统一身份认证中的应用陈,杨贯中莉①( 湖南大学软件学院,长沙410082)摘要: 简要介绍了LDAP 协议以及LDAP 的四种基本模型,阐述了统一身份认证的思想,并将LDAP 应用到校园网统一身份认证系统中.关键词:LDAP ; 统一身份认证; 目录服务中图分类号: TP312文献标识码:A文章编号:1009 - 1432 ( 2004) 02 - 0048 - 03( Software School , Hunan University , Changsha , Hunan 410082 , China) Abstract : The article briefly int roduces Lightweight Directory Access Protocol and it s four basic models and pus2network uniform identity aut hentication. expatiates on uniform identity aut hentication. It also discusses how to apply LDAP to t he system of cam2 Key words :LDAP ;uniform identity aut hentication ;directory serviceLDAP 的英文全称是Lightweight Directory Access Protocol , 即轻量级目录访问协议, 简称为LDAP.LDAP 技术发展得很快, 在企业系统范围内实现LDAP , 可使运行在几乎所有计算机平台上的任何应用程序从LDAP 目录中获取信息. LDAP 目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案. 基于LDAP 的校园网统一身份认证系统, 利用分布式的目录信息树结构,对用户身份信息和系统控制信息进行有效组织和管理,可提供高效、安全的目录访问.1LDAP 简介LDAP 是一个运行在TCP/ IP 上的目录访问协议,是基于X. 500 协议标准的, 但它比X. 500简单且可根据需要定制. 与X. 500 不同,LDAP 支持TCP/ IP 协议, 这对访问Internet 是必须的.LDAP 的核心规范在RFC 中都有定义. [ 1 ]LDAP 服务器是用来处理查询和更新LDAP目录的. 严格地说,LDAP 根本不是数据库而是用来访问存储在LDAP 目录中的信息的协议. LDAP 协议的第三个版本LDAP V3 不仅仅作为X. 500 的简化版出现, 同时提供了许多X. 500 所不具有的特性, 使LDAP 协议功能更完备, 更具有实用性. [ 2 ]2统一身份认证的思想统一身份认证的主要思想是由一个全校范围内唯一的认证服务系统接管应用各自的认证模块,各应用只需要遵循统一认证服务调用接口,即可实现用户身份的认证过程. 至于用户身份信息、密码的存储及在网络上传输的安全性, 由身份认证服务提供的安全认证协议来保证. LDAP 通过SSL/ TL S 认证机制来保护数据的完整性和私密3. 4 安全模型LDAP 的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同. [ 3 ] 一般有下述三种: ( 1) 无认证. 这种方法只在没有数据安全问题且不涉及访问控制权限的时候才能使用. ( 2 ) 基本认证. 当使用LDAP 的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名( DN ) 和口令来标识自己. 服务进程检查客户进程发送的分辨名( DN ) 和密码是否与目录中存储的分辨名( DN ) 和密码相匹配,如果匹配则认为通过了认证; (3) SASL 认证. 即LDAP 提供的在SSL 和TL S 安全通道基础上进行的身份认证, 包括数字证书的认证.性. 校园网中所有的用户数据在LDAP 服务器中被统一管理,所有的应用程序通过网络访问同一个用户数据库, 数据的管理和安全保证放在LDAP 服务器上进行统一的维护.3LDAP 四种基本模型LDAP 的体系结构由四种基本模型组成: 信息模型描述LDAP 的信息表示方式, 命名模型描述LDAP 的数据如何组织, 功能模型描述LDAP 的数据操作访问方式, 安全模型描述LDAP 的安全机制.3. 1 信息模型LDAP 信息模型定义能够在目录中存储的数4LDAP 在校园网统一身份认证中的应用为实现校园网用户身份的统一认证, 本系统开发选择OPENLDAP 软件, 它是一个开放源码的免费软件,其中包括一个跨平台的轻量级目录访问服务器SLAPD ( 8 ) , 它支持LDAP V3 协议, 还包括主从备份服务器和数据库管理工具等.据类型和基本的信息单位. 在LDAP 中信息以树状方式组织,基本数据单元是条目( ent ry) ———即关于对象的信息集合,而每个条目由属性构成,属性中存储属性值. 通常, 条目中的信息说明真实世界的对象,比如一个人、、部门服务器、打印机等等,它们与组织中的真实对象相符合.4. 1 LDAP 自定义模式模式( Schema ) 是一个按相似性原则进行分组的对象类的集合. 模式中定义了属性类型和对象类. 每个在统一身份认证信息库中有合法身份的人, 对应着LDAP 目录信息树中的一个节点. 节点的属性包括这个人的身份信息以及一些控制信息. 目录设计的目标就是决定如何将这些节点组织成一个结构合理的目录信息树.Person 的LDAP 对象类以及一组该对象类可用的RFC2758 文档中定义了一个名为InetOrg2493. 2 命名模型LDAP 中的命名模型, 即LDAP 中的条目定位方式. 在LDAP 中每个条目均有自己的DN (Distinguished Name , 标识名) 和RDN ( RelativeDistinguished Name ,相对标识名) . DN 是该条目在整个树中的唯一名称标识,RDN 是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是DN ,文件名就是RDN.3. 3 功能模型我们需要对目录树中的信息进行访问,LDAP 功能模型说明了能够使用LDAP 协议对目属性. 这些属性都是目录服务中经常要用到的信InetOrgPerson 对象类中已有的属性所能表示的录执行某些操作. 在LDAP 中共有四类操作( 共10 种) : ( 1) 查询类操作,如搜索、比较;( 2) 更新类操作,如添加条目、删除条目、修改息. 针对校园网统一身份认证系统的实际应用, 信息很难直接用标准模式中定义的属性来表示.因此系统中需引入自定义模式, 因为它能够恰当地描述系统的需求,并具有很好的可扩展性. 自定义模式的方法是在配置文件slapd. conf 的全局定入新的模式文件newschema. schema. 义部分加入:include ~/ newschema. schema , 即引条目、修改条目名; ( 3) 认证类操作,如绑定、解绑定;( 4) 其它操作,如放弃和扩展操作.除扩展操作,另外9 种是LDAP 标准操作.4. 2 系统结构设计统一身份认证系统的设计和实现需要涉及身份认证、访问控制、加密、通信以及数据库等多项[2 ] 技术. 具体分析了校园网应用的情况后, 笔者认为下面的结构可以建立校园网的统一身份认证系统见图1.个到若干个LDAP 从目录服务器, 以本地化地响应各种应用对LDAP 的操作, 从目录服务器的数据由主目录服务器自动复制而来. 使用统一身份认证服务, 把通常由多个管理员在许多应用之间进行的管理工作整合到一个管理控制台之中, 形成了一个集成化高、灵活性强、又较为安全的环境. 统一身份认证服务使各种应用能够使用所有受支持的身份认证方法; 提供单点进行所有身份认证尝试, 单点登录方法允许用户仅需登录一次即可访问其经过授权的多种应用,并可检测到并阻止暴力攻击,从而可以提高整体安全性和用户的工作效率.5结语目前,LDAP 已应用在北京大学、大连理工大图1基于LDAP 的统一身份认证系统校园的软件和应用系统是基于Web , 需灵活的体系结构,校园网络应用系统采用三层体系结构. 物理结构采用分布式实施模式,但逻辑上采用统一用户管理. [ 4 ] 网络应用系统整体分为三个层次,分别为: ( 1) 表现层: 门户服务将为校园网系统建立会员制,使能基于角色进行访问控制; ( 2 ) 应用层: 是关键性业务应用服务器, 它是校园网关键性应用逻辑的“容器”; (3) 数据层: 包括数据库服务器、LDAP 目录服务器、份识别服务器、子证书服务器. 身电LDAP 目录服务器和身份识别服务器将提供统一学、清华大学以及上海交大等高校的校园网络用户管理系统中,将LDAP 目录服务的特点引入到校园网统一身份认证中, 便于用户登录校园网络系统,及管理员维护系统. 随着校园网的各种应用不断涌现和进一步发展, 基于LDAP 的校园网统一身份认证系统会有很好的发展前景, 是未来实现数字化校园的基础.参考文献:[ 1 ] M. Wahl , T. Howes ,S. Kille. Lightweight Directory Ac2 cess Protocol ( V3 ) [ S ] . IETF RFC 2251. Network Working Group . 1997. [ 2 ] Michael Donnelly. An Introduction to LDAP[ EB/ OL ] . - 04 - 28. [ 3 ] 宋志强,陈怀楚,沈锡臣. 校园网统一身份认证结构及用户管理. 电子证书管理是基于LDAP 目录服务器和X. 509 标准颁发、管理和恢复用户的电子证书. 在统一身份认证方面, 采用基于LDAP 的目录管理是目前Internet 应用身份认证事实上的标准. 本系统中,在数据层配置LDAP 服务器作为主目录服务器,用于用户数据的统一管理和更新. 为进一步提高系统的效率,在应用层的主机上,配置一基于此结构的应用漫游的实现[J ] , 计算机工程与应用,2002.[4 ] 张慧宇,等. LDAP 研究及其在CA 中的应用, 计算机应用研究[J ] ,2002 , ( 10) .50http :/ / dapman. org/ rticles/ intro2to2ldap . ht ’ ml. 2000( 责任编辑: 易华容英文编校: 文爱军)。
ldapsearch命令例子-概述说明以及解释
ldapsearch命令例子-概述说明以及解释1.引言1.1 概述概述LDAP(Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录信息服务的协议。
在日常的系统管理和网络管理工作中,经常需要查询和管理LDAP目录中的信息。
而ldapsearch命令就是一个用于在LDAP目录中搜索和获取信息的命令行工具。
通过ldapsearch命令,用户可以指定搜索条件来查询LDAP目录中符合条件的信息,比如用户信息、组织结构、权限等。
ldapsearch命令的灵活性和强大功能使其成为管理LDAP目录的重要工具之一。
本文将介绍ldapsearch命令的语法和示例,并探讨其在系统管理和网络管理中的重要性和应用场景,以及展望ldapsearch命令的未来发展。
1.2 文章结构文章结构部分的内容可以包括以下内容:1. 简介:介绍本文将要讨论的主题,即ldapsearch命令的使用和示例。
2. 目录:列出文章的结构和内容,方便读者快速了解全文的组织和内容。
3. 正文:详细介绍ldapsearch命令的概念、语法和示例,让读者能够理解和掌握这个命令的用法。
4. 结论:总结本文的主要观点和结论,强调ldapsearch命令在实际应用中的重要性和价值。
5. 展望:探讨ldapsearch命令未来的发展方向和可能的应用场景,让读者对这个命令在未来的发展有更深入的了解。
1.3 目的本文的主要目的是介绍ldapsearch命令的基本用法和实际应用示例。
通过对ldapsearch命令的介绍和示例分析,读者将能够了解LDAP(轻型目录访问协议)搜索工具的使用方法,并且掌握如何利用ldapsearch 命令来查询和检索LDAP目录中的信息。
同时,本文也旨在帮助读者更好地理解ldapsearch命令的重要性和在何种情况下可以有效地应用该命令。
最终,本文还将展望ldapsearch命令在未来的发展趋势,为读者提供更深入的了解和思考。
LDAP协议基础概念优秀doc资料
LDAP协议基础概念优秀doc资料1. 从用途上阐述LDAP,它是一个存储静态相关信息的服务,适合“一次记录多次读取”。
常用LDAP服务存储的信息:•公司的物理设备信息(如打印机,它的IP地址、存放位置、厂商、购买时间等)•公开的员工信息(地址、、电子邮件…)⎫•合同和账号信息(客户信息、产品交付日期、投标信息、项目信息…)⎫•凭证信息(认证凭证、许可证凭证…)⎫2. 从数据结构上阐述LDAP,它是一个树型结构,能有效明确的描述一个组织结构特性的相关信息。
在这个树型结构上的每个节点,我们称之为“条目(Entry)”,每个条目有自己的唯一可区别的名称(Distinguished Name ,DN)。
条目的DN是由条目所在树型结构中的父节点位置(Base DN)和该条目的某个可用来区别身份的属性(称之为RDN如uid , cn)组合而成。
对Full DN :“shineuserid=linly , ou=Employee , dc=jsoso , dc=net”而言,其中Base DN:“ou=Employee , dc=jsoso , dc=net”,RDN:“shineuserid=linly”下面是一个LDAP服务器的数据结构图:3. 从协议衍化上阐述LDAP,它是“目录访问协议DAP——ISO X.500”的衍生,简化了DAP协议,提供了轻量级的基于TCP/IP协议的网络访问,降低了管理维护成本,但保持了强壮且易于扩充的信息框架。
LDAP的应用程序可以很轻松的新增、修改、查询和删除目录内容信息。
LDAP目录条目(Directory Entry)简述从Object Classes谈起在LDAP目录数据库中,所有的条目都必须定义objectClass这个属性。
这有点像Java语言里说阐述的“一切皆对象”的理念,每个条目(LDAP Entry)都要定义自己的Object Classes。
Object Class可以看作是LDAP Entry的模板,它定义了条目的属性集,包括必有属性(requited attribute)和可选属性(option attribute)。
2011新版自考互联网应用答案(beta版)
互联网网络:互联网是建立在一组共同协议之上的网络设备和线路的物理集合,是一组可共享的资源集。
包括基于TCP/IP协议的网间网;使用和开发这些网络的用户群;可以从网络上获得的资源集。
下一代互联网络:不同于现在的互联网的互联网,其主要特点有:更大,更快,更安全,更便捷。
互联网的体系结构:网络体系结构设计方法提出的计算机网络的层次结构及其协议的集合。
也就是说,它是计算机网络及其部件所能完成的各种功能的精确定义。
Intranet网络:Intranet是基于Internet 的TCP/IP协议构建的企业内部网络,包括两种类型:一种是纯局域网,不与外网互连;另一种是与外网有限互连,即在局域网与互连网互连处连接有防火墙等安全设备,以保证内部网络信息安全。
说明Internet和Intranet的概念及区别:互联网是由什么组成的:互联网是由网络硬件何网络软件组成的。
OSI模型及各层次的关系是什么?网间通信时根据不同的层划分的,同等层可以相互通信,所以根据连接层次的不同,网间连接设备可以分为中继器、网桥、路由器和网关。
简述互联网的主要应用:阐述如何选择网络拓扑结构:在组建互联网时常采用星型、环形、总线型和树形、网状结构。
树形和网状结构在广域网中比较常见。
但是在一个实际的网络中,可能是上述几种网络构型的混合。
阐述在什么环境下最适用于用简单的总线结构:阐述我国互联网的发展历程:TCP/IP:TCP/IP 是一个协议系列,包含了100多个协议,用来将各种计算机和数据通信设备组成计算机网络,由于TCP和IP是其中最基本、最重要的两个协议,因此,通常用TCP/IP协议来代表整个互联网协议系列。
WLAN:是计算机网络与无线通信技术相结合的产物。
IP地址与域名的关系:为了便于使用和记忆,也为了便于网络地址的分层管理和分配,从1984年开始互联网采用域名服务系统对IP进行管理。
解释ARP、NAT、ADSL、NAT-PAT的含义:ARP协议采用广播消息的方法来获取网上IP 地址对应的MAC地址,对于使用低层介质访问机制的IP地址来说,ARP协议是非常通用的。
ldap 协议
ldap 协议LDAP(Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录信息服务的应用级协议。
它通常用于在网络中的目录服务中进行身份验证和授权。
LDAP协议基于X.500标准,但是比X.500更简单,因此被称为轻量级。
LDAP协议的基本概念是将目录作为一个树形结构的数据库,其中包含了各种对象的信息。
LDAP服务器使用这个树形结构来存储和组织数据,而LDAP客户端则可以使用LDAP协议来查询、添加、修改和删除这些数据。
LDAP协议的核心是基于客户端-服务器模型的通信。
客户端向服务器发送LDAP请求,服务器则返回相应的LDAP响应。
LDAP协议使用TCP和UDP作为传输协议,通常使用389端口进行通信。
在LDAP中,数据以条目(entry)的形式存储。
每个条目都有一个唯一的标识符(DN),用来在整个目录树中唯一标识这个条目。
条目包含了一个或多个属性-值对,用来描述这个条目所代表的对象的属性信息。
例如,一个用户条目可以包含属性如姓名、电子邮件地址、电话号码等。
LDAP协议定义了一系列的操作,用来对目录中的数据进行增删改查。
常见的操作包括,绑定(bind)、搜索(search)、添加(add)、删除(delete)、修改(modify)等。
通过这些操作,LDAP客户端可以与LDAP服务器进行交互,从而实现对目录数据的管理和访问。
除了基本的操作外,LDAP协议还提供了一些扩展功能,如安全认证、访问控制、数据复制等。
这些功能使得LDAP协议成为了企业网络中常用的身份认证和授权解决方案。
总的来说,LDAP协议是一种灵活、高效的目录访问协议,它为网络中的目录服务提供了统一的访问接口,为用户和应用程序提供了方便的身份认证和授权机制。
在企业网络中,LDAP协议被广泛应用于各种系统和应用中,如邮件服务、文件共享、VPN接入等。
通过LDAP协议,用户可以方便地访问和管理企业网络中的各种资源,从而提高了网络管理的效率和安全性。
LDAP认证技术在油田生产系统中的设计与实现
方法的特点进行 阐述 , 并成功应用于青海油田油 气水 井远程计 量传输发 布 系统。
关 键 词 :D P 双 重认 证 ; 地 认 证 ;生 产 系统 LA ; 本
t e d t fe po tt n we y a t mai a ol cin s se h aa o x l i i l b u o t lc l t y tm. ao l c e o K e r s y wo d :L AP;d u l u h n iai n wa D o b e a te t t y;lc lv r y rd ci n s s m c o o a e i ;p o u t y t f o e
中图分 类号 :P 9 T3 1
文献标识码 : A
d i 0 3 6 /. s.0 62 7 .0 2 0 .5 o:1 .99 ji n 10 — 5 2 1.7 0 8 s 4
De i n a d I plm e a i n o sg n m e nt to fLDAP t e tc to c no o y Au h n i a i n Te h l g
0 引 言
本文 首 先 研 究 L A D P认 证 原 理 , 计 并 实 现 设
R C网页 中找 到 。 F LA D P服务器 是用 来处 理 查询 和更新 L A 目录 DP 的, 严格 地说 ,D P根本 不 是 数 据库 , LA 而是 用 来访 问 存储 在 L A 目录 中 信 息 的 协 议 J D P认 证 集 D P 。L A
ldap
实例分析
dn: uid=fsmith, ou=employees, dc=foobar, dc=com objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson objectclass: foobarPerson uid: fsmith givenname: Fran sn: Smith cn: Fran Smith cn: Frances Smith telephonenumber: 510-555-1234 roomnumber: 122G o: Foobar, Inc. mailRoutingAddress: fsmith@ mailhost: userpassword: {crypt}3x1231v76T89N uidnumber: 1234 gidnumber: 1200
ldapsearch
ldapsearch -x 进行简单认证 -D 用来绑定服务器的DN -w 绑定DN的密码 -b 指定要查询的根节点 -H 制定要查询的服务器 ldapsearch -x -D “cn=root,dc=starxing,dc=com” -w secret -b “dc=starxing,dc=com” 使用简单认证,用 “cn=root,dc=starxing,dc=com” 进行绑定, 要查询的根是 “dc=starxing,dc=com”。这样会把绑定的用户能访问 ”dc=starxing,dc=com”下的 所有数据显示出来。
基准DN 基准DN
dc=foobar, dc=com (用DNS域名的不同部分组成的基准DN) 就象上面那一种格式,这种格式也是以DNS域名为基础的, 但是上面那种格式不改变域名(也就更易读),而这种格式把域 名:分成两部分 dc=foobar, dc=com。在理论上,这种格 式可能会更灵活一点,但是对于最终用户来说也更难记忆一点。
基于LDAP的单点登录方案的设计与实现
基于LDAP的单点登录方案的设计与实现Based on LDAP。
the Design and n of Single Sign-XXX1.Project BackgroundWith the XXX。
us n management systems have emerged in public systems such as government。
companies。
and schools。
The most important type of these management systems is Web n systems based on B/S structure。
such as email services。
These XXX to the Web server。
which requires users to enter login parameters in the form of a page。
After the user enters and submits the parameters。
the server's script program XXX.In recent years。
the use of Web ns has entered a mature stage。
and the n and services XXX the n and resources of Web ns hasXXX management is the core part of protecting Web n and resources。
The general identity XXX method is to save each n system's user n and XXX module。
using an independent XXX divides the user's "ork identity" into many independent fragments。
LDAP概念和原理介绍
LDAP概念和原理介绍相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还⽐较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使⽤案例”四个⽅⾯来做⼀个介绍。
我们在开始介绍之前先来看⼏个问题:1. 我们⽇常的办公系统是不是有多个?2. 每个系统之间是不是都有独⽴的账号密码?3. 密码多了,有时候半天想不起来哪个密码对应哪个系统?4. 每次新项⽬的开发,都需要重新开发和维护⼀套⽤户密码?5. 维护多套系统的⽤户是不是⾮常头疼?So,如今⼤家再也不⽤为上⾯的的问题头疼了,因为“LDAP统⼀认证服务”已经帮助⼤家解决这些问题了。
那么相信⼤家对“LDAP统⼀认证服务”是⼲嘛的已经有⼀个⼤概的了解了吧?那我们开始今天要讲解的内容吧!⼀、什么是LDAP?(⼀)在介绍什么是LDAP之前,我们先来复习⼀个东西:“什么是⽬录服务?” 1. ⽬录服务是⼀个特殊的数据库,⽤来保存描述性的、基于属性的详细信息,⽀持过滤功能。
2. 是动态的,灵活的,易扩展的。
如:⼈员组织管理,电话簿,地址簿。
(⼆)了解完⽬录服务后,我们再来看看LDAP的介绍:LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级⽬录访问协议。
⽬录是⼀个为查询、浏览和搜索⽽优化的数据库,它成树状结构组织数据,类似⽂件⽬录⼀样。
⽬录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。
所以⽬录天⽣是⽤来查询的,就好象它的名字⼀样。
LDAP⽬录服务是由⽬录数据库和⼀套访问协议组成的系统。
(三)为什么要使⽤LDAP是开放的Internet标准,⽀持跨平台的Internet协议,在业界中得到⼴泛认可的,并且市场上或者开源社区上的⼤多产品都加⼊了对LDAP的⽀持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。
基于LDAP的校园网统一身份认证的设计与实现
随着 数 字化 校 园 建 设的 不 断深 入 , 网络 信 息在 高 校
扮 演 着 越 来 越 重 要 的 角 色 。 教 务 系 统 、 网 络 课 堂 、 邮 件
处 理 复 杂 的协 议 。L A 仅 通 过 使 用 原 始 X 5 0目录 存 取 协 DP .0 议 ( A ) 的 功 能 子 集 而 减 少 了 所 需 的 系 统 资 源 消 耗 ,而 DP
( 任编 辑 : 责 陈
倩)
处理 。经过滚 筒处 理6 钟 ,生 产滚 筒渣 1 吨 ,扩充 了滚 分 2 筒处理钢渣的 能力 ,减少 了进行热 泼处理 的钢渣 的数量 。
之间用户数据的一致性及 易操 作性 ,迫切 需要校 园网对统一身份认证 系统的支持 。文章从 L P协议 出发 ,描 述 了 DA 典型的校 园网络 中如何 实现多系统之间的统一身份认证 。
关键 词 : 一 身份 认 证 ; DA P r l 校 园 网 统 L P; ot ; a 中 图分 类 号 : P 9 T 33 文 献 标 识码 : A
这 一 先 进 渣 处 理 工 艺 得 到 了 迅 速 推 广 , 为 国 内 乃 至 世 界
吨 ,扩 充 了滚筒 处 理钢 渣 的 能力 ,减 少 了进 行热 泼 处理 的钢渣 的数量 。
( ) 施 案例 二 二 实
宝 钢 五 号 转 炉 钢 渣 一 罐 2 吨 ; 渣 态 : 半 流 动 渣 ; 处 理 5
(A D P)。然而 ,D P A 需要 大量 的系 统 资源 和支持 机 制来
进行 滚筒 处理 ,剩下 5 吨罐底 渣 因与渣罐 壁粘结 ,只 能倒
ldap术语
ldap术语LDAP(Lightweight Directory Access Protocol)术语指的是LDAP协议中使用的一些术语。
以下是一些常见的LDAP术语:1. Directory:指的是LDAP服务器存储的数据的集合,可以理解为一个数据库。
2. Entry:也称为对象(Object),是LDAP目录中的基本单位,类似于数据库中的行,表示一个实体。
3. Attribute:也称为属性(Attribute),是一个具有名称和一个或多个值的键值对,描述了Entry的某个方面。
4. DN(Distinguished Name):即区别名,是唯一标识一个Entry的路径名,用于在LDAP目录中定位Entry。
5. RDN(Relative Distinguished Name):即相对区别名,是用于标识Entry 的唯一部分,是DN的一部分。
6. ObjectClass:每个Entry都属于一个或多个ObjectClass,用于定义Entry 的类型和属性。
7. Schema:指LDAP目录服务器存储的关于数据结构和数据内容的定义。
8. Attribute Syntax:定义了Attribute的数据类型和值的格式。
9. LDAP URL:用于标识和访问LDAP目录中的Entry,类似于URL。
10. Bind:指建立和认证LDAP连接的过程。
11. Search:用于从LDAP目录中检索匹配条件的Entry。
12. Filter:用于定义Search的匹配条件。
13. Modify:用于更新LDAP目录中的Entry的属性值。
14. Add:用于在LDAP目录中添加新的Entry。
15. Delete:用于从LDAP目录中删除Entry。
16. Compare:用于比较指定属性值和给定值是否匹配。
17. Bind DN:用于认证和授权的DN,可以理解为用户名或者身份标识。
18. Bind Password:用于认证和授权的密码。
ldap 组织架构
ldap 组织架构LDAP,即轻型目录访问协议,是用于访问和维护目录服务的协议。
LDAP组织架构是LDAP目录服务的重要组成部分,它定义了如何将信息组织和管理在LDAP目录中。
1. 建立LDAP目录首先,需要建立一个LDAP目录,该目录用于存储组织结构和用户信息。
可以通过安装和配置开源LDAP服务器如OpenLDAP,或者商用LDAP服务器如Microsoft Active Directory实现。
2. 定义组织架构在LDAP目录中,组织架构是基于目录树结构的。
通常用于定义组织单元(OU)、部门和用户,以及它们之间的组织关系。
LDAP目录树结构通过使用DN(Distinguished Name)来命名,在树状结构中树枝代表具有不同组织单元的不同部门。
3. 添加组织单元在创建LDAP组织架构时,最先添加的是组织单元(OU),它们像一个框架一样为LDAP目录提供了很好的体系结构和逻辑组织。
可以用LDAP 客户端工具如JXplorer或Apache Directory Studio来添加和编辑OU 或使用任何LDAP编程语言。
4. 添加部门每个组织单元可以包含多个部门。
在LDAP目录中,部门通常是对业务或功能的逻辑划分。
添加新部门的方法很类似于添加新的组织单元。
5. 添加用户用户是LDAP目录中的重要角色。
每个用户都有一个唯一的DN,并包含用户名、密码和其他有用的属性(例如:电子邮件地址、电话号码等等)。
你可以使用LDAP客户端工具或编程语言来手动创建或批量导入新用户。
此外,大多数LDAP服务器还允许用户自行注册或通过SSO(单点登录)在LDAP目录中自动创建。
总之,LDAP组织架构是一个通用的、管理权限的访问协议,充分利用和管理目录和用户资源。
组织架构的建立是LDAP目录服务的一个基本方面,它让管理员和开发人员能够更好地组织和管理LDAP目录。
LDAP 概念与架设
LDAP 概念与架设現今網路常用的服務,以 HTTP、Mail 和 File System (Samba) 為最常用的服務,然而在這些常用的服務裡,會有使用者帳號的問題,每當要使用 Mail 時要輸入 Mail 的帳號密碼,存取 File System 要有 File System 帳號密碼,再更多的服務就要記更多的帳號密碼,小弟曾看過某機關,一位承辦人居要要背五組以上的的帳號密碼,而每兩個月又要修改一次,想想看這是多麼恐怖的一件事。
LDAP 是一種目綠服務,可使用 LDAP 記錄各種的人員資訊,就像是通訊錄一樣,又更進階一點,他也可以拿來做帳號整合,若是在 AP 上都有所支援,那麼要使用同一組帳號秘碼就不再是難以搞定的事了。
在小弟等當兵的這一段日子裡,打算使用 LDAP 來做Linux login(new window)、Postfix(new window)、Samba、HTTP 等帳號密碼整合。
所以,我將會寫一系列的LDAP 整合文章,當然,太深入、難以說明或是太過於理論的地方我都不會講,因為這只是筆記,我會儘量說明清楚。
為了要讓閱讀本文章的讀者們可以更容易的找到相關書籍,我在文章裡也會提供參考圖書或網頁的資料。
無論如何,小弟只對 Redhat Linux 的部份較為熟悉,所以在以下文章裡所提到的 LDAP,其實是指 OpenLDAP 套件,跟 Microsoft 的 Active Directory 沒有關係,因為小弟對 AD 也不熟。
在這個章節裡,我將要介紹基本的 LDAP 觀念和如何使者用 ldap command 來新增、查尋資料。
而在實作的環境裡,我是使用 CentOS 4.0,也就是說若您的系統是使用 CentOS 4、Redhat Enterprise Linux 4、Fedora Core 3 或 Fedora Core 4 的話應該都可以照著本文章實作,當然,CentOS 4.0 裡附的 OpenLDAP 版本是 openldap-2.2。
ldap basedn格式
ldap basedn格式
基本概念
注:
每个Entry都可以有多个属性,而每个属性都有特定的类型和一个或多个取值,比如cn(Common Name)就是一个属性
因为LDAP概念很多,这里会根据例子展开相关的最小程度的概念,更为详细的可以查看上文的RFC的文档。
LDAP树形结构的构成方式
LDAP存储的信息以树形结构的方式进行组织,而设计LDAP结构一般有两种方式,比如为了说明一个人所处的详细信息,采用不同的方式的构成方式也会有所不同,而这些最终会体现到LDIF的详细信息上。
传统方式
传统方式聚焦于国别以及地理信息为上层构成,比如Barbara Jenson这个人,使用这种方式来确认,首先会看国别,美国还是英国,然后按照地理信息进行继续下行,是加州的Acme公司的销售部门的一个成员
互联网域名方式
互联网域名则是基于域名,上层构成直接使用域名,能结合DNS相关的技术。
在这种方式下,看一下babs这个人,是公司下的一个成员。
基于LDAP单点登录服务的设计和实现
北京工业大学工程顶士学倥论文2.3平台总体方案设计我们所研究的目标是以目录服务为核心,通过J2EE技术、嚼EB服务/XML技术、PKI/刚T技术和相关的网络安全技术,设计和实现一个基于LDAP的公安资源管理平台,下图是基于LDAP的公安资源管理平台的总体方案示意图:酗2—2基于LDAP的公安资源管理平台总体方案示意图Figure2—2Accordingtothetotalprojectsketch嗨poftheresourcesmanagementteYraceofLDAPpublicsecurityofficial基于LDAP的公安资源管理平台将公安网络各类服务和部门信息系统,以目录服务存储为核心,借助认证中心cA为核心的安全控锘9体系和№rberos的单点登录机制,实现安全的、快速反应的、统一协同的网上公安业务。
为实现内部网络资源的集中安全管理,必须满足以下几个关键要求川:(1)需要对希望访问内部网的个人的身份进行认证(2)~个中央授权框架将能够使管理得到大大简化一个允许组织以集中方式对所有这些服务器的访问控制进行管理并为用户在web空间中提供单点登录的安全解决方案可以使安全管理得到大大简北京工业大学工程硕士学位论文八用,‘。
或应用最统2.4.3功能模块吏新单元数据格式转换‘转换规则图2—3更新系统结构图Figur;e2—3ReneⅣthesystemknotcOmpositiOn为了保证整个数据更新过程的雁常进行,数据同步系统需要具备一些特定的功能模块。
数据同步系统的功能模块如图2—4所示。
关系数据麾触发苄I元数据同步系统转换规则配置更新施元更新监控其他管理图2—4数据同步系统功能模块豳Figure2—4AFigureofthedatasynchronoussystemfunction皿old各模块的功能如下:≯关系数据库触发单元:弱实时的捕获业务系统的关系数据库中数据的更新变化,包括插入新数据、删除旧数据、修改数据等。
LDAP在校园网统一身份认证中的应用的开题报告
LDAP在校园网统一身份认证中的应用的开题报告一、选题背景随着网络技术的快速发展,多数高校已经建立了自己的校园网络系统。
在这个网络系统中,用户数量庞大、权限管理复杂,在这种情况下,需要一个可靠有效的身份认证系统,保证网络系统的安全性、完整性和可用性。
传统的单点登录系统已经不够用,需要采用更加完善的校园网统一身份认证系统。
二、选题意义校园网统一身份认证系统是一种全新的网络安全管理方式,能够实现用户统一认证和权限管理,保证多种应用系统的信息安全。
LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,可以用于校园网统一身份认证系统中的身份认证和用户信息管理。
LDAP有很多优点,如数据的分布式存储、易于跨平台实现、高性能等,适合作为校园网统一身份认证系统的身份认证协议。
本文将介绍LDAP的基础知识,探讨LDAP在校园网统一身份认证系统的应用。
三、选题内容1. LDAP的基础知识介绍LDAP的基础概念、协议、数据模型、访问控制等知识点,为后文的系统设计提供基础。
2. 校园网统一身份认证系统的需求分析对校园网系统中的数据、用户、安全等方面进行分析,确定校园网统一身份认证系统的功能需求。
3. LDAP在校园网统一身份认证系统的应用介绍LDAP在校园网统一身份认证系统的实现方式、实现过程和相关技术细节。
4. 系统实现与测试基于已有的需求分析和LDAP应用,实现校园网统一身份认证系统,并进行系统测试,评估系统的安全性、稳定性和性能。
四、研究方法1. 实证分析:通过对目前已有的高校的校园网系统进行实证分析,了解不同校园网系统的特点、发展趋势。
2. 设计实现:采用面向对象分析、设计思想,进行系统设计和代码实现。
3. 系统测试:通过模拟实际网络环境进行系统测试,对系统的安全性、稳定性和性能进行评估。
五、论文结构第一章:选题背景和选题意义。
第二章:相关技术和前沿研究。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
LPI 301 考试准备,主题 301: 概念、体系结构和设计资深 Linux 专业人员(LPIC-3)级别:中级Sean A. Walberg (sean@), Senior Network Engineer2007 年 10 月 23 日在本教程中,Sean Walberg 帮助您准备Linux Professional Institute® Senior Level Linux Professional(LPIC-3)考试。
在这个共 6 个教程的系列的第一篇中,Sean 介绍 Lightweight Directory Access Protocol(LDAP)的概念、体系结构和设计。
学完本教程之后,您将掌握LDAP 的概念和体系结构、目录设计和模式。
开始之前本节解释这些教程讲授什么内容,以及如何从这些教程获得最大的收益。
关于本系列Linux Professional Institute (LPI)对 Linux 系统管理员的认证分为三级:初级(也称为 “认证级别 1”)、中级(也称为 “认证级别 2”)和高级(也 称为 “认证级别 3”)。
要获得认证级别 1,您必须通过 101 和 102 考试;要获得认证级别 2,您必须通过 201 和 202 考试。
要获得认证级别 3,您必须已经获得中级认证,并通过 301 考试(“core”)。
在高级认证中,可能还要通过其他专业考试。
developerWorks 提供教程来帮助您准备初级、中级和高级认证的 5 门考试。
每门考试包含几个主题,每个主题在 developerWorks 上都有一个对应的自学教程。
表 1 列出 LPI 301 考试的 6 个主题和对应的 developerWorks 教程。
表 1. LPI 301 考试:教程和主题LPI 301 考试主题 developerWorks教程 教程摘要主题 301 LPI 301 考试准备:概念、体系结构和设计 (本教程)了解 LDAP 的概念和体系结构,了解如何设计和实现 LDAP 目录,并了解模式。
参见下面详细的 目标。
主题 302 LPI 301 考试准备:安装和开发敬请期待!主题 303 LPI 301 考试准备:配置敬请期待!主题 304 LPI 301 考试准备:使用敬请期待!主题 305 LPI 301 考试准备:集成和迁移敬请期待!主题 306 LPI 301 考试准备:容量计划敬请期待!要想通过考试 301(并获得认证级别 3),您应该:•具备几年在许多计算机上为各种用途安装和维护 Linux® 的经验。
•具备使用各种技术和操作系统的经验。
•具备企业级 Linux 专业人员的经验(或者受过相关培训),包括作为其他角色从事企业级 Linux 管理的经验。
•了解高级和企业级 Linux 管理,包括安装、管理、安全、故障排除和维护。
•能够使用开放源码工具评估容量计划和解决资源问题。
•具 备使用 LDAP 集成 UNIX® 和 Microsoft® Windows® 服务的专业经验,包括 Samba、Pluggable Authentication Modules(PAM)、电子邮件和 Microsoft Active Directory 目录服务。
•能够计划、设计、构建和实现一个使用 Samba 和 LDAP 的完整环境,而且能够评估容量计划和服务的安全性。
•能够创建 Bash 或 Perl 脚本,或者至少了解一种系统编程语言(比如 C)。
Linux Professional Institute 不为任何第三方考试准备资料或技术做担保。
关于本教程欢迎阅读 “概念、体系结构和设计”,这是针对 LPI 301 考试而设计的 6 篇教程中的第 1 篇。
在本教程中,了解 LDAP 的概念和体系结构,了解如何设计和实现 LDAP 目录,并了解模式。
本教程是按照 这个主题的 LPI 目标 组织的。
大致来说,权值越高的学习目标,在考试中出的题就越多。
目标表 2 给出本教程的详细目标。
表 2. 概念、体系结构和设计:本教程中涉及的考试目标LPI 考试目标 目标权值 目标摘要301.1概念和体系结构3 熟悉 LDAP 和 X.500 概念。
301.2 目录设计2 设计和实现一个 LDAP 目录,计划一个适当的Directory Information Tree 以避免冗余。
了解适合在 LDAP 目录中存储的数据类型。
301.33 熟悉模式概念和 OpenLDAP 中包含的基本模式文件。
模式前提条件要想从本教程获得最大的收益,您应该具备 Linux 的高级知识并且拥有一个可以用来实践的 Linux 系统。
如果您的基本 Linux 技能有点儿生疏了,可以先复习 针对 LPIC-1 和 LPIC-2 考试的教程。
不同的程序版本可能会导致不同格式的输出,所以您在进行实践时获得的结果可能会与本教程中的清单和图不完全一样。
系统需求为了学习这些教程中的示例,需要一个带 OpenLDAP 包并支持 PAM 的 Linux 工作站。
大多数现代发行版都能够满足这些需求。
概念和体系结构本节讨论 Senior Level Linux Professional(LPIC-3)考试 301 的 301.1 主题的内容。
这个主题的权值为 3。
在本节中,学习:•LDAP 和 X.500 技术规范•属性定义•目录名称空间•区别名•LDAP Data Interchange 格式•元目录•changetype 操作LPIC-3 考试主要针对 Lightweight Directory Access Protocol(LDAP)的使用。
因此,第一个目标是了解 LDAP 是什么、它的作用是什么以及这个概念背后的一些基本术语。
了解了这些知识之后,就能够开始设计自己的目录并将应用程序与目录集成起来。
LDAP 是什么?在讨论 LDAP 之前,先回顾一下目录的概念。
目录的典型例子是电话簿,电话簿中按照字母表次序列出人名以及他们的电话号码和地址。
每个人(或家庭)代表一个对象,电话号码和地址是这个对象的属性。
一些对象是企业而不是个人,这些对象可能有传真号码或营业时间等属性。
与印刷的目录不同,计算机目录本质上是层次化的,允许将对象放在其他对象下面,形成父-子关系。
例如,可以扩展电话目录,让它包含代表城市地区的对象,每个个人和企业对象分别归入对应的地区对象。
这些地区对象归入城市对象,城市对象进一步归入州或省对象,依此类推,形成图 1 这样的层次结构。
这种结构会使印刷的目录更难使用,因为需要知道人名和地理位置才能进行查询,但是计算机可以对信息进行排序和搜索目录的不同部分,所以这不是个问题。
图 1. 一个示例目录看一下图 1,Simpson 的记录表明的信息不仅仅是地址和电话号码。
您还知道他处于 Springfield 城的东部。
这个结构称为树。
在这里,树的根是 Springfield 对象,其他对象代表分支的不同级别。
这种基于目录的数据存储方式与您熟悉的关系数据库很不一样。
为了比较这两种模型,图 2 显示在采用关系数据库模型的情况下电话数据的样子。
图 2. 采用关系形式的目录数据在关系模型中,每种类型的数据是一个单独的表,允许存储不同类型的信息。
每个表还有一个指向父表的链接,这样就能够保存对象之间的关系。
注意,如果要添加更多的信息字段,就必须修改表的结构。
请记住,目录模型没有对数据在磁盘上的存储方式施加任何限制。
实际上,OpenLDAP 支持许多种后端,包括平面文件和 Structured Query Language(SQL)数据库。
表在磁盘上的布局机制在很大程度上是对用户隐藏的。
例如,Active Directory 提供一个 LDAP 接口来操作它的专有后端。
LDAP 的历史LDAP 是在 Request for Comments(RFC)1487 中提出的,它作为一种访问 X.500 目录的轻量方式,替代比较复杂的 Directory Access Protocol(参见 参考资料 中这个 RFC 和相关 RFC 的链接)。
X.500 是来自 International Telecommunication Union(ITU,以前称为 CCITT)的一组标准,指定了如何实现目录。
您可能熟悉 X.509 标准,这个标准构成大多数 Public Key Infrastructure(PKI)和 Secure Sockets Layer(SSL)证书的核心。
在此之后,LDAP 发展到了第 3 版,在 RFC 4511 中定义。
最初,连接 X.500 数据库需要按照真正的 ITU 方式使用 Open Systems Interconnection(OSI)协议簇,这要求理解大量的协议文档。
LDAP 使基于 Internet Protocol(IP)的网络能够连接相同的目录,而且所需的开发周期比使用 OSI 协议时短得多。
最终,IP 网络的流行导致 LDAP 服务器的出现,这些服务器只支持必要的 X.500 概念。
尽管 LDAP 和 IP 战胜了 X.500 和 OSI,但是目录数据的底层组织仍然符合 X.500。
本教程中讨论的一些概念(比如区分名和对象标识符)都来自 X.500。
X.500 是一种创建全局目录系统的方法,主要用来协助用于电子邮件的 X.400 系列标准。
通过一些处理,LDAP 也可以用作全局目录,但是它主要在企业的内部使用。
命名和属性在 LDAP 系统中,名称是非常重要的。
名称使我们能够访问和搜索记录,而且名称常常暗示出记录在 LDAP 树中的位置。
图 3 显示一个典型的 LDAP 树。
图 3. 一个显示用户的典型 LDAP 树树的顶部(即根)是一个称为 dc=ertw,dc=com 的实体。
dc 是 domain component 的简写。
因为 ertw 在顶级域 .com 下面,所以它们被分成两个不同的单元。
在使用 X.500 命名法时,用一个逗号连接名称的各个成分,新的成分添加在左边。
从技术上说,也可以将根命名为 dc=,但是为了保持互操作性,最好将域名的各个成分分隔开(实际上,RFC 2247 建议采用分隔的域名成分)。
dc=ertw,dc=com 惟一地标识树中的这个实体。
按照 X.500 的说法,这称为区分名(distinguished name,DN)。
DN 很像关系数据库中的主键,因为在树中只有一个实体具有给定的 DN。
最顶部条目的 DN 称为根 DN(Root DN)。
在根 DN 下面是一个 DN 为 ou=people,dc=ertw,dc=com 的对象。