1、概念：

成都創(chuàng)新互聯(lián)公司長(zhǎng)期為上1000家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為徽州企業(yè)提供專業(yè)的網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)，徽州網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

目錄服務(wù)是一個(gè)為查詢、瀏覽和搜索而優(yōu)化的專業(yè)分布式數(shù)據(jù)庫(kù)，它呈樹(shù)狀結(jié)構(gòu)組織數(shù)據(jù)，就好象Linux/Unix系統(tǒng)中的文件目錄一樣。目錄數(shù)據(jù)庫(kù)和關(guān)系數(shù)據(jù)庫(kù)不同，它有優(yōu)異的讀性能，但寫(xiě)性能差，并且沒(méi)有事務(wù)處理、回滾等復(fù)雜功能，不適于存儲(chǔ)修改頻繁的數(shù)據(jù)。

LDAP是輕量目錄訪問(wèn)協(xié)議(Lightweight Directory Access Protocol)的縮寫(xiě)；

2、特點(diǎn)：

1.LDAP采用樹(shù)結(jié)構(gòu)來(lái)表示數(shù)據(jù)；

2.LDAP是C/S模型，Server 用于存儲(chǔ)數(shù)據(jù)，Client提供操作目錄信息樹(shù)的工具;

3.LDAP具有優(yōu)異的讀性能，不過(guò)在寫(xiě)方面，就比較差；

4.LDAP是跨平臺(tái)的Interent標(biāo)準(zhǔn),可以在任何計(jì)算機(jī)平臺(tái)上，使用客戶端程序訪問(wèn)LDAP目錄；

3、作用：

1.LDAP目錄服務(wù)可以有效地解決眾多網(wǎng)絡(luò)服務(wù)的用戶賬戶問(wèn)題。

2.LDAP目錄服務(wù)規(guī)定了統(tǒng)一的身份信息數(shù)據(jù)庫(kù)、身份認(rèn)證機(jī)制和接口，實(shí)現(xiàn)了資源和信息的統(tǒng)一管理，保證了數(shù)據(jù)的一致性和完整性。

3.LDAP目錄服務(wù)是以樹(shù)狀的層次結(jié)構(gòu)來(lái)描述數(shù)據(jù)信息的，此種模型適應(yīng)了眾多行業(yè)應(yīng)用的業(yè)務(wù)組織結(jié)構(gòu)。

4、常用術(shù)語(yǔ)：

(1)條目（Entry）：

   Entry就是目錄管理的對(duì)象，是LDAP中最基本的操作對(duì)象。通常對(duì)LDAP進(jìn)行的增刪改查都是以條目為基本對(duì)象的。

每一個(gè)條目都有一個(gè)唯一的標(biāo)識(shí)名(DN)，

DN：每一個(gè)條目都有一個(gè)唯一的標(biāo)識(shí)名(distinguished Name,DN)，比如下圖中的：cn=員工1,ou=部門1,dc=公司1,dc=com，就是一個(gè)條目；通過(guò)DN的層次型語(yǔ)法結(jié)構(gòu)，可以方便地表示出條目在LDAP樹(shù)中的位置，通常用于檢索。

RDN：一般指dn逗號(hào)最左邊的部分，如cn=員工1。

Base DN：LDAP目錄樹(shù)的最頂部就是根，也就是所謂的“Base DN"，如"dc=公司1,dc=org"。

(2)屬性（Attribute）：

   每個(gè)條目都可以有很多屬性，比如常見(jiàn)的人都有姓名、地址、電話等屬性。每個(gè)屬性都有名稱及對(duì)應(yīng)的值，屬性值可以有單個(gè)、多個(gè)，比如你有多個(gè)郵箱。

   屬性不是隨便定義的，需要符合一定的規(guī)則，而這個(gè)規(guī)則可以通過(guò)schema制定。這個(gè)文件包含在ldap的配置文件中；

比如說(shuō)：如果配置文件中沒(méi)有 inetorgperson.schema這個(gè)schema，那么就不能為它指定employeeNumber屬性，因?yàn)閑mployeeNumber是在inetorgperson.schema中定義的。

LDAP為人員組織機(jī)構(gòu)中常見(jiàn)的對(duì)象都設(shè)計(jì)了屬性(比如commonName，surname)。下面有一些常用的別名：

屬性	別名	語(yǔ)法	描述	值(舉例)
commonName	cn	Directory String	姓名	test
surname	sn	Directory String	姓	chen
organizationalUnitName	ou	Directory String	部門名稱	IT
organization	o	Directory String	公司名稱	org
telephoneNumber		Telephone Number	電話號(hào)碼	110
objectClass			內(nèi)置屬性	organizationalPerson

(3)對(duì)象類 ObjectClass：

   對(duì)象類是屬性的集合。比如人員（person）含有姓（sn）、名（cn）、電話(telephoneNumber)、密碼(userPassword)等屬性，單位職工(organizationalPerson)是人員(person)的繼承類，除了上述屬性之外還含有職務(wù)（title）、郵政編碼（postalCode）、通信地址(postalAddress)等屬性。

通過(guò)對(duì)象類可以方便的定義條目類型。每個(gè)條目可以直接繼承多個(gè)對(duì)象類，這樣就繼承了各種屬性。如果2個(gè)對(duì)象類中有相同的屬性，則條目繼承后只會(huì)保留1個(gè)屬性。對(duì)象類同時(shí)也規(guī)定了哪些屬性是基本信息，必須含有(Must 或Required，必要屬性)：哪些屬性是擴(kuò)展信息，可以含有（May或Optional，可選屬性）。

對(duì)象類有三種類型：結(jié)構(gòu)類型（Structural）、抽象類型(Abstract)和輔助類型（Auxiliary）。

對(duì)象類本身是可以相互繼承的，所以對(duì)象類的根類是top抽象型對(duì)象類。以常用的人員類型為例，他們的繼承關(guān)系：

   注意，對(duì)象類繼承的時(shí)候會(huì)把屬性是必須(Must)還是可選（May）的特性也一并繼承。也就是說(shuō)person有cn和sn兩個(gè)Must屬性，organizationalPerson和inetOrgPerson由于直接或間接繼承了person，也會(huì)有這兩個(gè)Must屬性。

  下面是inetOrgPerson對(duì)象類的在schema中的定義，可以清楚的看到它的父類SUB和可選屬性MAY、必要屬性MUST(繼承自organizationalPerson)，關(guān)于各屬性的語(yǔ)法則在schema中的attributetype定義。

(4)Schema

   對(duì)象類（ObjectClass）、屬性類型（AttributeType）、語(yǔ)法（Syntax）分別約定了條目、屬性、值，他們之間的關(guān)系如下圖所示。

所有這些構(gòu)成了模式(Schema)——對(duì)象類的集合。條目數(shù)據(jù)在導(dǎo)入時(shí)通常需要接受模式檢查，它確保了目錄中所有的條目數(shù)據(jù)結(jié)構(gòu)都是一致的。

schema（一般在/etc/ldap/schema/目錄）在導(dǎo)入時(shí)要注意前后順序。

4、TLS & SASL

分布式LDAP 是以明文的格式通過(guò)網(wǎng)絡(luò)來(lái)發(fā)送信息的，包括client訪問(wèn)ldap的密碼（當(dāng)然一般密碼已然是二進(jìn)制的），SSL/TLS 的加密協(xié)議就是來(lái)保證數(shù)據(jù)傳送的保密性和完整性。

SASL （Simple Authenticaion and Security Layer）簡(jiǎn)單身份驗(yàn)證安全框架，它能夠?qū)崿F(xiàn)openldap客戶端到服務(wù)端的用戶驗(yàn)證，也是ldapsearch、ldapmodify這些標(biāo)準(zhǔn)客戶端工具默認(rèn)嘗試與LDAP服務(wù)端認(rèn)證用戶的方式（前提是已經(jīng)安裝好 Cyrus SASL）。

SASL有幾大工業(yè)實(shí)現(xiàn)標(biāo)準(zhǔn)：Kerveros V5、DIGEST-MD5、EXTERNAL、PLAIN、LOGIN。

Kerveros V5是里面最復(fù)雜的一種，使用GSSAPI機(jī)制，必須配置完整的Kerberos V5安全系統(tǒng)，密碼不再存放在目錄服務(wù)器中，每一個(gè)dn與Kerberos數(shù)據(jù)庫(kù)的主體對(duì)應(yīng)。DIGEST-MD5稍微簡(jiǎn)單一點(diǎn)，密碼通過(guò)saslpasswd2生成放在sasldb數(shù)據(jù)庫(kù)中，或者將明文hash存到LDAP dn的userPassword中，每一個(gè)authid映射成目錄服務(wù)器的dn，常和SSL配合使用。參考將 LDAP 客戶端配置為使用安全性

#rpm -ql cyrus-sasl.x86_64（檢查是否安裝Cyrus SASL）

本文參考：

https://segmentfault.com/a/1190000002607140

http://407711169.blog.51cto.com/6616996/1439623

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文題目：1、LDAP基礎(chǔ)知識(shí)-創(chuàng)新互聯(lián)
當(dāng)前鏈接：http://www.chinadenli.net/article12/dcdgdc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、企業(yè)網(wǎng)站制作、網(wǎng)站建設(shè)、網(wǎng)站改版、響應(yīng)式網(wǎng)站、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)