活动目录管理.docVIP

活动目录管理 3．1 目录服务基础 3．1．1 目录服务 目录服务本质上是一种基于客户/服务器模型的信息查询服务，它依赖于目录数据库。 目录数据库中的数据读取和查询效率非常高，但是它的数据写入效率较低 ? 适用于数据不需要经常改动，但需要频繁读出的情况。 目录数据库是以树状的层次结构来描述数据信息的。 3．1．2 目录服务标准 X.500 国际电信联盟定义的目录标准，用于X.500客户机与服务器通信的协议是DAP（Directory Access Protocol）。 X.500为网络用户提供分布式目录服务。 X.500 规定总体命名方式，全球统一的名字空间，一个完整的X.500系统称为一个目录。这个目录是一个数据库。 X.500 采用公共钥基础结构（PKI）作为主要的认证方式。 3．1．3 LDAP LDAP（Lightweight Directory Access Protocol）简化版的DAP，它支持TCP/IP协议。 LDAP使用ACL（访问控制列表）来控制对数据读和写的权限。 LDAP 目录以树状的层次结构来存储数据，目录由包含有描述性信息的各个条目（记录）组成，LDAP使用一种简单的、基于字符串的方法来表示目录条目。 LDAP 目录记录的标识名（Distinguished Name，简称DN） LDAP 定位于提供全球目录服务，数据按层次结构组织。最顶层的是“根”或基本DN；目录往下进一步细分成组织单元（OU，或称组织单位），在这些OU中包含数据的条目。 基本DN：是LDAP目录树的“根”或最顶部。 基本DN的三种格式： 以最原始的X.500 的标准格式表示，如o=mycompany,c=CN。 直接用公司的DNS域名作为基本DN，如0=mycompany,dc=com。 用域名的不同部份组成基本DN，如dc=mycompany,dc=com。 组织单元：用于对数据进行分组和分类。 目录项：在LDAP目录的OU下面是实际的记录项，也称条目（Entry），相当于数据库表中的记录。 目录中的所有记录都有一个惟一的识别名称，即DN。 每个记录的DN由两个部份组成： RDN和记录在LDAP目录中的位置。 存储在LDAP目录中的所有数据都有一个惟一的名称，它存储在cn (Common Name 公用名称)属性里。 例：cn=wang,ou=employee,dc=mycompany,dc=com 对象类和模式： LDAP目录用对象类（objectClasses）概念来定义哪一类的对象使用什么属性。 模式（Schema ）是按照相似性进行分组的对象类集合。 LDAP复制： LDAP服务器支持目录复制，在LDAP服务器之间复制部份或全部数据。 LDAP的安全和访问控制 LDAP使用ACL（访问控制列表）来控制对数据读和写的权限。 3．1．4 目录服务的应用 目录数据库适合存储和管理的数据类型： 需要从不同的地点读取的数据； 不需经常更新的数据； 要求查询速度快，索引功能强大； 数据安全性重要，数据访问需要精确控制； 数据分布广，而且数据规模逐渐增大。 目录服务的主要应用领域： 计算机网络系统的基础管理，包括网络结构、网络资源和安全认证等。 组成机构和企业的资源管理，如机构信息、人事信息、产品信息、和账户信息。 作为电子商务基础，用于存储客户、供货商和商品信息。 用于网络安全、认证服务和PKI系统。 扩充电子邮件系统。 公共查询服务。 用于网络寻址。 3．1．4 目录服务软件 与操作系统集成的目录服务软件 Windows server : Active Directory Novell: eDirectory Linux: Openldap 商业目录服务软件 Microsoft：Exchange Server IBM: Domino、SecureWay Sun: iPlanet Directory Server Netscape: Directory Server 邮件目录服务器软件 目录服务客户端软件 MicroSoft Outlook Express、 Netscape Messenger 3．2 部署Active Directory 目录服务 3．2．1 Active Directory基础 Active Directory 的功能 数据存储，也称为目录，它存储着与Active Directory对象有关的信息。包括共享资源，如服务器、文件、打印机、网络用户和计算机账户。 包含目录中每个对象信息的全局编录。 查询和索引的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。 通过网络分发目录数据的复制。 与网络安全登录过程的安全子系