LDAP扫盲

cn=role_1 gn=users_1 gn=... uid=userid_1 uid=...
cn=...
*
cn=role_11
cn=...
LDAP介绍
3.LDAP设计
2.LDAP用户指南
1.LDAP概述
2 LDAP用户指南
1. 常用命令
ldapadd,ldapsearch,ldapmodify Ldapdelete etc 2. 数据操作格式：LDIF文件 3. 安全控制：ACL
1.3.4 ObjectClass与Attribute关系
• 每一个ObjectClass都定义了一些Attribute，其
Attribute仍然可以是ObjectClass。在这些 Attriubte中分为两种类型MUST，MAY， MUST表示这个Entry必须包括的属性，MAY为 可选。一个ObjectClass的Attribute也包括所有 继承自父ObjectClass和自身定义的 。
ou=realm1 Realm objectClass= organizational unit ou(must) realmid(must) realmContainer objectClass= organizational unit Ou(must) kPN=principal_1
ou=...
2 LDAP用户指南
1. 常用命令
ldapadd,ldapsearch,ldapmodify Ldapdelete etc 2. 数据操作格式：LDIF文件
3. 安全控制：ACL
2.3 安全控制：ACL
语法：
<access directive> ::= access to <what> [by <who> [<access>] [<control>] ]+ What：指定的是需要访问的entries and attributes
1. 概念上的特别 2. 跨平台 3. 复制技术 4. 允许使用ACL 5. 读取速度快
1.2.1 LDAP概念上的特别
LDAP和关系数据库是两种不同层次的概念： • 前者是存贮模式和访问协议，后者是存贮方式 （同一层次如网格数据库，对象数据库）。 • LDAP是一个比关系数据库抽象层次更高的存 贮概念，与查询语言SQL属同一级别。 LDAP 实现了指定的数据结构的存贮，它包括以下可 以用关系数据库实现的结构要求：树状组织、 条目认证、类型定义、许可树形记录拷贝。
1. LDAP概述
1. 概念介绍
2. LDAP的特点
3. LDAP的元素介绍
4. 实例说明
1.4 实例说明 NOTE
kPN: krb5PrincipalName
Role objectClass= organizational unit role Cn(must) Uid(may,mul) dc=kerberos,dc=kdc Principal objectClass= krbPrincipal kPN(must) uid(may) ou=realmContainer
1.2.5 读取速度快
LDAP服务器对读密集型的操作进行了优化。因此， LDAP的读取速度比优化后的关系型数据库快一个 数量级。但是不提供事务的回滚（rollback）机制， 它的数据修改使用简单的锁定机制实现All-orNothing，因此LDAP并不适合存储需要需要经常 改变的数据。 因此，适合查询和修改操作比大于10:1，以及需要 快速响应和大容量查询并且提供多目录服务器的信 息复制功能的情况。
2.1 常用命令
• ldapsearch –x –b “” –s base “objectclass=*” namingContexts 含义：通过查询根上下文判断LDAP服务器是否正常工 作： -x 指查询的时候使用目录认证不使用SASL认证 -b ”” 查询的起点，即base，空指从根开始查询； -s base:指的是查询范围。有三种选项，one一层包括 兄弟目录；base值当前目录，sub，子孙目录。默认 是sub “objectclass=*”是一个过滤器，这里表示所有的都选择 namingContext：是约定的特殊属性，可以选择其他属 性值
1.3.4 ObjectClass与Attribute关系
• LDAP中Entry必须属于某一个objectClass。 • 在LDAP中objectClass分为三种：Abstract，
Structural，AUXIALIARY。要定义一个Entry必 须包含一个Structural类型的ObjectClass，其他 两个类型可包括0或多个。Top是一个顶级 ObjectClass，里面定义了一个MUST Attribute： ObjectClass，因此必须有一个其它的Structural ObjectClass才能定义一个Entry。 • 子ObjectClass会继承父ObjectClass中的全部 Attribute
1.2.2 跨平台
LDAP最大的优势是：可以在任何计算机平台 上，用很容易获得的而且数目不断增加的 LDAP的客户端程序访问LDAP目录。而且也很 容易定制应用程序为它加上LDAP的支持。 LDAP协议是跨平台的和标准的协议，因此应 用程序就不用为LDAP目录放在什么样的服务 器上操心了。
1.2.3 复制技术
LDAP服务器可以用“推”或“拉”的方法复制部分 或全部数据，例如：可以把数据“推”到远程的 办公室，以增加数据的安全性。复制技术是内 置在LDAP服务器中的而且很容易配置。如果 要在DBMS中使用相同的复制功能，数据库产 商就会要你支付额外的费用，而且也很难管理。
1.2.4 允许使用ACL
LDAP允许你根据需要使用ACL（访问控制列表） 控制对数据读和写的权限。例如，设备管理员 可以有权改变员工的工作地点和办公室号码， 但是不允许改变记录中其它的域。ACL可以根 据谁访问数据、访问什么数据、数据存在什么 地方以及其它对数据进行访问控制。因为这些 都是由LDAP目录服务器完成的，所以不用担 心在客户端的应用程序上是否要进行安全检查。
2 LDAP用户指南
1. 常用命令
ldapadd,ldapsearch,ldapmodify Ldapdelete etc 2. 数据操作格式：LDIF文件 3. 安全控制：ACL
2.1 常用命令
• Ldapadd –x –D
cn=admin,dc=kerberos,dc=kdc –f path -W
*
kPN=...
gn=users
ou=roles
userGroup objectClass= Group of unique names Gn(must)
User objectClass= r2ePerson Uid(must) Cn(must) kPN(must) Realmid(may) Roleid(may,mul) Oid(may)
1.3.2 objectClass介绍
objectClass：条目中的记录通过objectclass实现 分类，objectClass是一个继承性的类定义，并 指定必须具备的属性。如某一条目指定必须符 合OranganizationalUnit类型，则它必须具备 ou类形指定的属性； 通过objectclass分类，分散的条目中的记录就 实际上建立了一个索引结构，为高速的读查询 打下了基础。Objectclass也是过滤器的主要查 询对象
格式来实现。
• LDIF 由两部分组成，第一部分是前两行，
版本和 dn ，后面是属性和值
2.2 数据操作格式
LDIF 由两部分组成，第一部分是前两行，版本和 dn ，后面是属性和值 LDIF文件实例： • version: 1 • dn: uid=bjensen, ou=people, dc=example, dc=com • objectclass: top • objectclass: person • objectclass: organizationalPerson • objectclass: inetOrgPerson • cn: Barbara Jensen • cn: Babs Jensen • givenName: Barbara • sn: Jensen • uid: bjensen • mail: bjensen@example.com • telephoneNumber: +1 408 555 1212 • description: Manager, Switching Products Division
1. LDAP概述
1. 概念介绍
2. LDAP的特点
3. LDAP的元素介绍
4. 实例说明
1.3 LDAP的元素介绍
1. 名词介绍 2. objectClass介绍 3. Schema介绍 4. ObjectClass与Attribute之间的关联
1.3.1 名词介绍
DN：LDAP中的条目定位方式 ，DN是该条目在 整个树中的唯一名称标识 RDN：条目在父节点下的唯一名称标识； 如同文件系统中，带路径的文件名就是DN，文 件名就是RDN。
2 LDAP用户指南
1. 常用命令
百度文库
ldapadd,ldapsearch,ldapmodify Ldapdelete etc
2. 数据操作格式：LDIF文件
3. 安全控制：ACL
2.2 数据操作格式
• Ldap的全部操作只能使用 LDIF(LDAP Data Interchange Format )
1.3.3 schema
数据样式schema是针对不同的应用，由用户指 定（设计）类和属性类型预定义，条目中的类 (objectclass)和属性必须在在 LDAP服务器启 动时载入内存的schema已有定义。AD中的条 目必须符合AD的schema。如果已提供的 schema中的定义不够用，用户可以自行定义 新的schema.
1.3.4 ObjectClass与Attribute关系
• •
• •
•
Entry是一个Instance，而objectClass就是 class。 Java中Class可以分为Abstract，concrete两 种，要new一个Instance时必须要有一个 concrete Class。 其中java中类存在继承关系，子类会继承父 类中的全部Attribute. Top就相当于java中的object类型一样是所有 类的父亲。 不同之处，在于一个前者是单继承，或者是多 继承。
1.1 概述介绍
• 理论上，LDAP支持后台的任何存储形式，包
括X500，关系数据库，文本数据库或文件目录 等。LDAP继承了X500目录的大部分定义，无 论是访问样式还是语法都与X500相似。
1. LDAP概述
1. 概念介绍
2. LDAP的特点
3. LDAP的元素介绍
4. 实例说明
1.2 LDAP特点
4. 实例说明
1.1 概述介绍
• X.500目录服务,它不是为TCP/IP网络设计的，
由于现在TCP/IP协议使用广泛。由于这个原因， 诞生了LDAP。 • LDAP（Lightweight Directory Access Protocal, 轻型目录访问协议），是目录服务的 前端访问协议（ 主要是以X.500目录为主）， 不是对目录服务本身制定的协议。
1.3.4 ObjectClass与Attribute关系
• objectClass是一个特殊的属性， • 首先：它既是实体（entry）的代表，继承上面
的属性。 • 其次也是一个属性，可以在一个实体中定义多 个ObjectClass从而有更多的属性。 • 每一个ObjectClass都是来自于top，top含有 must objectClass这样的属性。如果是继承自 top objectClass不是must，可有可没有。但是 如果定义成top，则必须再定义一个objectClass 类型。
LDAP介绍
3.LDAP设计
2.LDAP用户指南 1.LDAP概述
LDAP介绍
3.LDAP设计
2.LDAP用户指南
1.LDAP概述
1. LDAP概述
1. 概念介绍
2. LDAP的特点
3. LDAP的元素介绍 4. 实例说明
1. LDAP概述
1. 概念介绍
2. LDAP的特点
3. LDAP的元素介绍