LDAP课件

LDAP 技术总结（本文档由廖武锋编写）第一章LDAP有关技术介绍第一节X.500目录服务OSL X.500 目录是基于OSI网络协议的目录服务协议，也是LDAP的前身。

但是X.500的缺点是不支持TCP/IP，而是支持OSI协议，显然，在Windows等个人电脑上不可以使用OSI协议，在此前提下，也就产生了访问X.500目录的网关－LDAP。

第二节什么是LDAP？LDAP 英文全称是Light Weight Directory Access Protocol，一般都简称为LDAP。

它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

现在LDAP技术不仅发展得很快而且也是激动人心的。

在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

第三节Sun One Directory Server目录服务第四节Windows Active Directory 活动目录Active Directory (AD)是微软为.net中的对象访问定义的目录服务，包括目录服务本身，以及客户端API（ADSI）。

AD并不是LDAP在.net中的实现，而是X.500在.net中的实现，但AD前端支持并主要以LDAP形式进行访问。

完整地说，AD 是基于微软自身定义的X.500扩展的一系列Schema 实现的X.500目录服务及相关的访问控制工具的集合，其前端支持LDAP的查询，目的是对.net中涉及的所有网络对象提供目录服务。

Ldap 图解•选择使用 openldap 或 mysql 来存储虚拟域和虚拟用户。

这里是选择 openldap•设置 LDAP suffix•设置 LDAP 管理员 cn=manager,dc=example,dc=com 密码•设置 mysql 密码，iredmail 需要使用 mysql 来存储 webmail 的设置•添加第一个 domain•设置 domain 管理员 postmaster 密码•设置 domain 第一个用户 www 的密码•是否启用 SPF 和 DKIM•选择组件•选择 webmail 的默认语言•设置 root 的 alias•决定是否开始安装•安装完成后，设置 ssh 和 iptable************************************************************************* * iRedMail-0.5.1 installation and configuration complete. ************************************************************************* < Question > Would you like to use iptables rules shipped within iRedMail now? < Question > File: /etc/default/iptables, with SSHD port: 22. [Y|n] < INFO > Copy iptables sample rules: /etc/default/iptables. < Question > Restart iptables now (with SSHD port 22)? [y|N] < INFO > Skip restart iptable rules. < Question > Would you like to start postfix now? [y|N] ********************************************************************* Congratulations, mail server setup complete. Please refer to tip * file for more information: * * * * And it's sent to your mail account www@,www@. * * If you want to remove and re-install iRedMail, here are steps: * * * * * * * * Please reboot your system to enable mail services or start them * manually without reboot: * * # for i in sysklogd apache2 postfix mysql slapd postfix-policyd dovecot amavis clamav-daemon clamav-freshclam cron iptables; do /etc/init.d/${i} restart; done * ******************************************************************** - Run script to remove main components installed by iRedMail: # cd tools/ # bash clear_iredmail.sh - Remove iRedMail installation process status: # rm -f /root/iRedMail-0.5.1/.iRedMail.installation.status - Install iRedMail like you did before. - /root/iRedMail-0.5.1/iRedMail.tips•你可以重新启动机器或者重启邮件相关的服务# for i in sysklogd apache2 postfix mysql slapd postfix-policyd dovecot amavis clamav-daemon clamav-freshclam cron iptables; do /etc/init.d/${i} restart; done。

LDAP快速入门LDAP快速入门1. LDAP简介LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。

目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。

目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。

目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。

而目录服务的更新则一般都非常简单。

这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。

为了访问存储在目录中的信息，就需要使用运行在TCP/IP 之上的访问协议—LDAP。

LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。

条目相当于关系数据库中表的记录；条目是具有区别名DN （Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于关系数据库表中的关键字（Primary Key）。

属性由类型（Type）和一个或多个值（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。

LDAP中条目的组织一般按照地理位置和组织关系进行组织，非常的直观。

LDAP把数据存放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。

类型的一个例子就是mail，其值将是一个电子邮件地址。

LDAP的信息是以树型结构存储的，在树根一般定义国家(c=CN)或域名(dc=com)，在其下则往往定义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People)。

一个组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。

LDAP基本概念LDAP(Lightweight Directory Access Protocol)是一种基于计算模型的客户机/服务器目录服务访问协议。

LDAP是从目录访问协议的基础上发展过来的，它是对的简化，它和的主要区别在于：1. LDAP是基于TCP/IP的，而是基于OSI网络协议栈，OSI很少有真正的应用2. LDAP删除了中一些繁琐而不常用的功能3. LDAP使用了更简洁的字符串来表示数据，而非比较复杂的结构化语法ASN1(Abstract Syntax Notation One)LDAP客户端和LDAP服务器端交互的一般过程1. LDAP客户端发起连接请求与LDAP服务器建立会话，LDAP的术语是绑定(binding)。

在建立绑定时客户端通常需要指定访问用户，以便能够访问服务器上的目录信息。

2. LDAP客户端发出目录查询、新建、更新、删除、移动目录条目、比较目录条目等操作3. LDAP客户端结束与服务器的会话，即解除绑定(unbinding)LDAP和RFC文档LDAP协议的版本目前是，它是有一系列RFC组成成的：RFC2251 Light-weight Directory Access Protocol主要定义了LDAP的操作、在客户端和服务器之间的交换的消息格式。

为了更好地支持国际化，它规定数据用UTF-8表示。

此外，相对旧版本RFC2251又添加了referral的功能，并把schema本身存放到目录中，使得客户端可以读取schema信息RFC2252 Light-weight Directory Access Protocol -- Attribute Syntax DefinitionRFC2253 Light-weight Directory Access Protocol -- UTF-8 String Representation of Distinguished NamesRFC2254 Light-weight Directory Access Protocol -- The String Representation of LDAP Search FiltersRFC2255 Light-weight Directory Access Protocol -- The LDAP URL formatRFC2256 A summary of user schema for use with LDAP v3一些常用的objectClass和属性已经由定义，该RFC对这些在LDAP中使用的objectClass 作了总结。

什么是LADP（一）什么是LADP(一)2008-01-31 10:41原文：原文作者：Michael Donnelly翻译：Brimmer如果你在计算机行业工作，那么对LDAP可能早有耳闻了。

想深入地了解LDAP吗？那么可以好好地读一下这篇文章。

这篇介绍性的文章是一系列介绍如何在企业中设计、实现和集成LDAP环境的文章的头一篇。

主要是先让你熟悉一下LDAP的基本概念，那些比较困难的细节问题将放到以后讨论。

在这篇文章中我们将要介绍：什么是LDAP?什么时候该用LDAP存储数据？LDAP目录树的结构单独的LDAP记录作为例子的一个单独的数据项LDAP复制安全和访问控制现在LDAP技术不仅发展得很快而且也是激动人心的。

在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

如果Oracle、Sybase、Informix或Microsoft SQL数据库中已经存储了类似的数据，那么LDAP和这些数据库到底有什么不同呢？是什么让它更具优势？请继续读下去吧！什么是LDAP?LDAP的英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。

它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

怎么使用LDAP这个术语呢？在日常交谈中，你可能会听到有些人这么说：“我们要把那些东西存在LDAP中吗？”，或者“从LDAP数据库中取出那些数据！”，又或者“我们怎么把LDAP和关系型数据库集成在一起？”。

IceWarp 集成LDAP服务同步管理用户实现客户端地址簿共享查找LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。

它是基于X.500标准的，但是更简单并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

目前，很多公司都把LDAP和自己的产品、技术结合在一起，增加LDAP在各个领域中的有效性，这一切都来源于LDAP是一个开放的协议，很容易和其他标准协议共存。

IceWarp Server 作为国际老牌的邮件服务器厂商，充分表现在系统的开放性，自身集成 LDAP服务，亦可使用第三方 LDAP 服务器，同步用户帐户实现用户帐户管理，用来做地址簿的共享，使得用户在MS Outlook、Outlook Express 或者其他邮件客户端上通过LDAP 服务器来查找同事的邮件地址。

使用LDAP做身份认证为什么需要使用LDAP数据库？用传统的关系型数据库不可以吗？LDAP服务器就是起到了一个认证Server的作用，从技术本身而言，这个认证Server 具体使用的是何种数据库并不重要，如果使用一个关系型数据库也可以达到统一身份认证的目的，但LDAP 自身的优势使得很多公司最终选择它。

◆LDAP是一个开放的标准协议，不同于SQL数据库，LDAP的客户端是跨平台的，并且对几乎所有的程序语言都有标准的API接口。

即使是改变了LDAP数据库产品的提供厂商，开发人员也不用担心需要修改程序才能适应新的数据库产品。

这个优势是使用SQL语言进行查询的关系型数据库难以达到的。

◆由于LDAP数据库的数据存储是树结构，整棵树的任何一个分支都可以单独放在一个服务器中进行分布式管理，不仅有利于做服务器的负载均衡，还方便了跨地域的服务器部署。

这个优势在查询负载大或企业在不同地域都设有分公司的时候体现尤为明显。

WX系列AC实现Portal+LDAP功能的典型配置（账号的姓名使用中文）一、组网需求：WX系列AC、FIT AP、便携机（安装有无线网卡）、LDAP服务器二、组网图：本典型配置举例中AC使用WX5004无线控制器，AP和Client通过DHCP方式获取IP地址。

WX5004上LDAP Server属于VLAN 100（网关192.168.100.1/24），AP属于VLAN 10（网关192.168.1.1/24），Client属于VLAN 20（网关192.168.2.1/24）。

三、特性介绍：LDAP是一种基于TCP/IP的目录访问协议，用于提供跨平台的、基于标准的目录服务。

LDAP协议的典型应用是用来保存系统的用户信息，如Microsoft的Windows操作系统就是使用了Active Directory Server来保存操作系统的用户、用户组等信息，用于用户登录Windows时的认证和授权。

LDAP的目录服务功能建立在Client/Server的基础之上。

所有的目录信息存储在LDAP服务器上。

LDAP服务器就是一系列实现目录协议并管理存储目录数据的数据库程序。

目前，Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server 都是常用的LDAP服务器软件。

使用LDAP协议进行认证时，其基本的工作流程如下：（1）LDAP客户端使用LDAP服务器管理员DN与LDAP服务器进行绑定，与LDAP服务器建立连接并获得查询权限。

（2）LDAP客户端使用认证信息中的用户名构造查询条件，在LDAP 服务器指定根目录下查询此用户，得到用户的DN。

（3）LDAP客户端使用用户DN和用户密码与LDAP服务器进行绑定，检查用户密码是否正确。

使用LDAP协议进行授权时，操作与认证过程相似，只是在查询用户时，除获得用户DN外，还可以获得用户信息中的授权信息。

LDAP概念和原理介绍相信对于许多的朋友来说，可能听说过LDAP，但是实际中对LDAP的了解和具体的原理可能还⽐较模糊，今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使⽤案例”四个⽅⾯来做⼀个介绍。

我们在开始介绍之前先来看⼏个问题：1. 我们⽇常的办公系统是不是有多个？2. 每个系统之间是不是都有独⽴的账号密码？3. 密码多了，有时候半天想不起来哪个密码对应哪个系统？4. 每次新项⽬的开发，都需要重新开发和维护⼀套⽤户密码？5. 维护多套系统的⽤户是不是⾮常头疼？So，如今⼤家再也不⽤为上⾯的的问题头疼了，因为“LDAP统⼀认证服务”已经帮助⼤家解决这些问题了。

那么相信⼤家对“LDAP统⼀认证服务”是⼲嘛的已经有⼀个⼤概的了解了吧？那我们开始今天要讲解的内容吧！⼀、什么是LDAP？（⼀）在介绍什么是LDAP之前，我们先来复习⼀个东西：“什么是⽬录服务？” 1. ⽬录服务是⼀个特殊的数据库，⽤来保存描述性的、基于属性的详细信息，⽀持过滤功能。

2. 是动态的，灵活的，易扩展的。

如：⼈员组织管理，电话簿，地址簿。

（⼆）了解完⽬录服务后，我们再来看看LDAP的介绍：LDAP（Light Directory Access Portocol），它是基于X.500标准的轻量级⽬录访问协议。

⽬录是⼀个为查询、浏览和搜索⽽优化的数据库，它成树状结构组织数据，类似⽂件⽬录⼀样。

⽬录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。

所以⽬录天⽣是⽤来查询的，就好象它的名字⼀样。

LDAP⽬录服务是由⽬录数据库和⼀套访问协议组成的系统。

（三）为什么要使⽤LDAP是开放的Internet标准，⽀持跨平台的Internet协议，在业界中得到⼴泛认可的，并且市场上或者开源社区上的⼤多产品都加⼊了对LDAP的⽀持，因此对于这类系统，不需单独定制，只需要通过LDAP做简单的配置就可以与服务器做认证交互。

Ldap介绍⼀、Ldap简介轻型⽬录访问协议，即Lightweight Directory Access Protocol (LDAP)是⼀个访问在线⽬录服务的协议。

⽬录是⼀组具有类似属性、以⼀定逻辑和层次组合的信息。

常见的例⼦是电话簿，由以字母顺序排列的名字、地址和电话号码组成。

最新版本的LDAP协议由RFC 4511所定义。

概述鉴于原先的⽬录访问协议（Directory Access Protocol即DAP）对于简单的互联⽹客户端使⽤太复杂，IETF设计并指定LDAP 做为使⽤X.500⽬录的更好的途径。

LDAP在TCP/IP之上定义了⼀个相对简单的升级和搜索⽬录的协议。

常⽤词"LDAP⽬录"可能会被误解，⽽实际并没有"LDAP⽬录"这么⼀个⽬录种类。

通常可以⽤它来描述任何使⽤LDAP协议访问并能⽤X.500标识符标识⽬录中对象的⽬录。

与ISODE提供的X.500协议的⽹关相⽐，尽管OpenLDAP及其来⾃密歇根⼤学的前⾝等的⽬录基本上设计成专门为LDAP访问⽽优化的，但也没有⽐其他⽤LDAP协议访问的⽬录额外多出来所谓“LDAP⽬录”。

协议的第三版由Netscape的Tim Howes，ISODE的Steve Kille和Critical Angle Inc的Mark Wahl撰写。

⼆、Ldap内容LDAP⽬录的条⽬（entry）由属性（attribute）的⼀个聚集组成，并由⼀个唯⼀性的名字引⽤，即专有名称（distinguished name，DN）。

例如，DN能取这样的值：“ou=groups,ou=people,dc=wikipedia,dc=org”。

LDAP⽬录与普通数据库的主要不同之处在于数据的组织⽅式，它是⼀种有层次的、树形结构。

所有条⽬的属性的定义是对象类object class的组成部分，并组成在⼀起构成schema；那些在组织内代表个⼈的schema被命名为white pages schema。