LDAP模式设计.doc

LDAP入门手册 1. LDAP 概念与概览 如果你已经知道了LDAP是什么，它有什么好处，并且也知道了Schemas, objectClasses, Attributes, matchingRules, Operational objects 以及所有诸如此类的概念——那就可以跳过本章。但是如果你不想盲目按照“HOWTOs这样的指南”去做事情，那么你必须理解本章材料中的绝大数内容。 LDAP和X.500在术语上渊源颇深。一些术语很重要，另一些术语则无足轻重。为了便于记忆，我们创建了一个词汇表，我们所介绍的术语要么很重，要么它们在各类文档中经常出现。 1.1 LDPA简史(A Brie Historyof LDAP) 1.2 LDAP概述(LDAP Overview) 1.3 LDAP与RDBMS比较(LDAP vs. RDBMS) 1.3.1 LDPA用途总结(LDAP Usage Summary) 1.4 LDAP数据（对象）模型(LDAP Data (Object) Model) 1.4.1对象树结构（Object Tree Structure） 1.4.2属性（Attributes） 1.4.3对象类（Object Classes） 1.4.4 记述条目树并添加数据(Describing the Tree and Adding Data) 1.4.5 遍历目录信息树（Navigating the Tree） 1.5 LDAP复制和引用（LDAP Replication and Referrals） 1.5.1 引用（Referrals） 1.5.2 复制（Replication） LDAP中大小写敏感问题的简单说明:这个问题很混乱，- 是的，我们发现这事确实很混乱。事实告诉我们这方面存在很多混乱的认识。在LDAP中，只有密码（passwords）和某些受限于匹配规则（matchingRule）的特定属性（极其少见）要求区分大小写。在本文和其他文档中你会看到 objectclasses 或objectClasses甚至ObjectClasses 这样的词汇，但它们都能工作。你有足够的理由担心大小写的问题，如果真的存在大小写敏感的问题，那在开始学习LDAP的六年时间中（开个玩笑，只需要四年）每次按下键盘时都会出一身汗，生怕输错某些东西的名称。 1.1 LDPA简史(A Brief Historyof LDAP) 曾经，在模糊和久远的过去（上世纪70年代末到80年代初），ITU（国际电信联盟- International Telecommunication Union）开始了X.400系列的email邮件标准的制定工作。Email标准需要一个名称（names，以及其他信息）的目录，这个目录可以通过网络以一种层级（hierarchical fashion）的方式进行访问，这种方式与所熟悉的DNS架构有所不同。 这种基于全球网络的目录需求导致ITU开发X.500系列标准，以及尤为特别的X.519标准，这个标准定义了DAP（目录访问协议Directory Access Protocol），该协议用于访问网络目录服务。 X.400 和X.500系列标准被打包在整个OSI中，非常庞大、臃肿并严重消耗资源，这就是ITU标准的现实。 时间很快到了上世纪90年代初期，IETF看到了访问全球目录服务的需求（最初也是和ITU制定email标准需要目录服务一样的原因），但是没有全部采用让人感觉头大的OSI协议，而是开启轻量级目录服务访问协议（LDAP）的制定工作。LDAP被设计为提供与X.519标准一样的功能，但使用TCP/IP协议——同时仍然允许与基于X.500协议的目录进行交互工作（inter-working）。实际上，与X.500 (DAP)的交互工作（inter-working）和映射（Maping）一直是IETF LDAP RFCs系列标准的组成部分。 注： IETF 国际互联网工程任务组（The Internet Engineering Task Force，简称IETF） 在LDAP规范中，很多非常纠结的问题主来自于目录根 （directory root）的命名规约，这个问题可以追溯到X.500的交互工作以及全球目录的需求。 LDAP –大体上–与DPA的不同之处如下： TCP/IP用于LDAP-DAP使用OSI作为传输/网络层协议。 在功能上的一些缩减 – 在X.519中一些模糊的、重复的和很少使用的功能被以安静（quietly）和仁慈（mercifully）的方式删除。 在LDAP中用文本表达方式（用于LDAP URLs和查找过滤器）替换了部分ASN.1(X.5