SunDirectoryServerLDAP学习笔记.docVIP

LDAP协议基础概念 1. 从用途上阐述LDAP，它是一个存储静态相关信息的服务，适合“一次记录多次读取”。常用LDAP服务存储的信息： 公司的物理设备信息（如打印机，它的IP地址、存放位置、厂商、购买时间等） 公开的员工信息（地址、电话、电子邮件…）( 合同和账号信息（客户信息、产品交付日期、投标信息、项目信息…）( 凭证信息（认证凭证、许可证凭证…）( 2. 从数据结构上阐述LDAP，它是一个树型结构，能有效明确的描述一个组织结构特性的相关信息。在这个树型结构上的每个节点，我们称之为“条目（Entry）”，每个条目有自己的唯一可区别的名称（Distinguished Name ，DN）。条目的DN是由条目所在树型结构中的父节点位置（Base DN）和该条目的某个可用来区别身份的属性（称之为RDN如uid , cn）组合而成。对Full DN ：“shineuserid=linly , ou=Employee , dc=jsoso , dc=net”而言，其中Base DN：“ou=Employee , dc=jsoso , dc=net”，RDN：“shineuserid=linly”下面是一个LDAP服务器的数据结构图： 3. 从协议衍化上阐述LDAP，它是“目录访问协议DAP——ISO X.500”的衍生，简化了DAP协议，提供了轻量级的基于TCP/IP协议的网络访问，降低了管理维护成本，但保持了强壮且易于扩充的信息框架。LDAP的应用程序可以很轻松的新增、修改、查询和删除目录内容信息。 LDAP目录条目（Directory Entry）简述 从Object Classes谈起 在LDAP目录数据库中，所有的条目都必须定义objectClass这个属性。这有点像Java语言里说阐述的“一切皆对象”的理念，每个条目（LDAP Entry）都要定义自己的Object Classes。Object Class可以看作是LDAP Entry的模板，它定义了条目的属性集，包括必有属性（requited attribute）和可选属性（option attribute）。这里要着重指出的是，在LDAP的Entry中是不能像关系数据库的表那样随意添加属性字段的，一个Entry的属性是由它所继承的所有Object Classes的属性集合决定的，此外可以包括LDAP中规定的“操作属性”（操作属性是一种独立于Object Class而存在的属性，它可以赋给目录中的任意条目）。如果你想添加的属性不在Object Classes定义属性的范畴，也不是LDAP规定的操作属性，那么是不能直接绑定（在LDAP中，给Entry赋予属性的过程称为绑定）到条目上的，你必须自定义一个含有你需要的属性的Object Class，而后将此类型赋给条目。 Object Class是可以被继承的，这使它看上去真的很像Java语言中的POJO对象。继承类的对象实例也必须实现父 类规定的必有属性（requited attribute），同时拥有父类规定的可选属性（option attribute）。继承类可以扩展父类的必有属性和可选属性。由于Object Class的继承特性，因此在一个LDAP Entry上，objectClass属性是一个多值属性，它涵盖了Object Class的完整继承树，如用户条目uid=Linly , ou=People, dc=jsoso , dc=net，它直接实现了inetorgperson这个对象类，那么它的objectClass属性值为inetorgperson，organizationalPerson，person，top。 从Object Classes到Directory Server Schema 上一章节中，我们了解了LDAP条目都要遵守的一个最重要的规定Object Classes，而实际上，对Entry更多更细的规范被涵盖在了Directory Server Schema（目录服务模式）中。Directory Schema声明了完整的LDAP数据的存储规范，这包括数据的字节大小、数值范围和格式定义。 默认的，在一个LDAP服务器上，都定义有一套标准的Schema和一套为服务器功能定制的Schema。用户在需要的时候，是可以定制自己的LDAP属性和Object Class，以扩展标准Schema的功能。在Sun Directory Server中，使用了标准LDAPv3 Schema，并在此基础上做了轻微的扩展。 在Schema中的标准属性（Standard Attributes）是一个键-值对,如：cn：linly ，属性ID（属性名）为cn，属性值为linly 。