《LDAP服务器的配置【协议+服务器+客户机+管理+安全】》.pdfVIP

誉天Cisco / Linux 认证社区 /BBS LDAP 服务器的配置【协议+服务器+客户机+管理+安全】 前言： “随着LDAP （Light Directory Access Protocol ，轻量级目录访问协议）技术的兴起和应用领域的不断 扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源 查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安 全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。 目录服务有着如此重要的作用，但在过去，企业通常采用基于Windows 的目录服务器，Linux在这方 面相形逊色。作为Windows 的核心内容，目录服务被企业IT人员认为是Windows与Linux相比最具竞 争力的部分，也成为Linux产品架构中的软肋。随着RHEL 4 内附的LDAP 服务器出现，这个情况已 经改变了。“ 一、LDAP协议简介 “LDAP （轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的 信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优 化。目录一般用来包含描 述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持 通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都 非常简单。这种目录可以存储包括个人信息、web链结、jpeg 图像等各种信息。为了访问存储在目 录中的信息，就需要使用运行在TCP/IP之上的访问协议—LDAP 。 LDAP 目录中的信息是是按照树 型结构组织，具体信息存储在条目(entry) 的数据结构中。条目相当于关系数据库中表的记录；条目 是具有区别名DN （Distinguished Name ）的属性（Attribute ），DN是用来引用条目的，DN相当于关 系数据库表中的关键字（Primary Key ）。属性由类型（Type ）和一个或多个值（Values ）组成，相当 于关系数据库中的字段（Field ）由字段名和数据类型组成，只是为了方便检索的需要，LDAP 中的 Type可以有多个Value ， 而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关 的。LDAP 中条目的组织一般按照地理位置 和组织关系进行组织，非常的直观。（图 /2006/0206/images/583569.JPG ） LDAP 的信息是以树型结构存储的，在树根一般定义国家(c=CN)或域名(dc=com)，在其下则往往定 义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People) 。一个组织单 元可能包含诸如所有雇员、 大楼内的所有打印机等信息。 此外，LDAP支持对条目能够和必须支持哪些属性进行控制，这是有一个特殊的称为对 象类别 (objectClass)的属性来实现的。该属性的值决定了该条目必须遵循的一些规则，其规定了该条目能够 及至少应该包含哪些属性。例如：inetorgPerson对象类需要支持sn(surname)和cn(common name)属性， 但也可以包含可选的如邮件，电话号码等属性。dn ：一条记录的位置；dc ：一条记录所属区域； ou ：一条记录所属组织；cn/uid ：一条记录的名字/ID 。OpenLdap是一个正在得到日益普遍应用的 开源软件，和LADP完全兼容。“ 与数据库比较 虽然目录也被称为特殊的数据库，但它不同于真正的数据库。目录的大部分操作为读操作。假如你 的应用程序要写大 量的数据，你应该考虑选择使用数据库来实现。目录支持相对简单的事务处理。相反，数据库被设 计成处理大量的各 种各样的事务处理。假如你的应用要求这种重负荷的事务支持，你该选择数据库而不是目录。 在另一方面，假如你的应用不要求这样的大负荷事务处理，而是偶尔的写一些简单的事务信息。这 时，目录是理想的 选择。它会更有效，更简单。 武汉誉天.独家授权Cisco / RHCE培训 誉天Cisco / Linux 认证社区 /BBS