2014演讲者你们好.docVIP

TNQ 400-04：理解LDAP 演讲者：你们好，我叫Srinivas Gazula，目前是MCS财务服务公司的高级顾问。今天讲座的题目是“理解LDAP”。LDAP是指轻便目录访问协议。 要听懂本讲座，须先对目录概念有一个基本的认识。本讲座的难度水平是300。你们今天将要学到的东西包括：LDAP基本原理；诸如端口、参考、控制、rootDSE及管理查询策略等。我们也将学到使用各种LDAP工具，以帮助进行故障诊断并管理活动目录。我们还将深入探讨捕捉并解释各种LDAP错误的方法。 下面是我们今天不予讲授的内容。它们是：Microsoft活动目录、ADSI、名字解析技术、规划管理，以及如何对LDAP客户进行编程。 何谓目录服务？它是一种在分布式环境中发现目标的方法。目录具有两个主要组成部分。第一部分是数据库。数据库是分布式的，且拥有一个描述数据的规划。第二部分则是访问和处理数据的各种协议。 目录服务与数据库之间的主要区别是什么呢？其实，二者有许多共同点，比如，它们都允许对存储数据进行访问；但是，在目录服务与数据库之间仍存在着一些基本差异。目录主要用于读取，数据库则是为读写而设计的。 目录服务不适于进行频繁的更新，而且，在本质上属于典型的分布式结构。 何谓LDAP？LDAP是一个目录服务协议。目前，存在众多版本的LDAP，而最常见的则是Ver 2和Ver 3。它们分别于1995年和1997年首次发布。为什么此二者如此出众呢？LDAP在四方面有过人之处：特性、标准、各种实现工具和LDAP API。 与X.500协议对比，LDAP优势何在呢？LDAP从根本上简化了X.500协议。在LDAP中，我们仅需付出10%的努力即可获得X.500协议90%的功能。而且，二者在传输方面也有所不同。LDAP直接运行于IP之上——不是TCP就是UDP。如前所述，它通过排除低级使用特性对X.500协议的功能进行简化。LDAP所使用的数据表示法非常简单。它基本上采取简单的字符串格式。而与X.500协议相比，LDAP所使用的编码规则也是非常简单的。 LDAP都有哪些模式呢？第一个是信息模式，它描述了信息的结构。第二个是命名模式，它说明了信息的组织和调用方式。第三个是功能模式，它从基本上描述了使用信息的方法及其所产生的效果。最后是安全模式，即目录服务中的信息是如何进行保护的。 让我们先来讨论第一种模式——信息模式。该模式源自X.500协议，且引入了目录信息树的概念。由若干条目构成的访问是由一个或多个LDAP服务器提供的。稍后，我们将在第一个演示中对LDAP信息树进行介绍。目录服务代理（即DSA）基本上是一个为LDAP需求提供服务的服务器。信息模式还引入了规划这一概念。 规划是什么呢？它不过是数据蓝图罢了。规划分为4类——抽象类、结构类、辅助类和88类。在1993年版的X.500标准之前，88类即已被界定，它今天的存在仅仅是由于历史原因。辅助类就像一个内建的属性文件，而抽象类则基本上是结构类的一个模板。在活动目录中，这些类的大多数都是结构化的，而其目录信息树中的条目也是基于结构类的。 类由属性构成。属性不过就是一个对象所保有的信息类型，它们视每个属性所能存储的数据类型来定义语法。 目录信息树有许多对象。它们也称为条目，任何对象不是一个容器，就是一个叶结点。容器中还会包含其它对象，而叶结点则不再包含任何对象。如前所述，所有的条目均源自结构类。Microsoft将条目视为对象，每个条目均具有相应的属性，因此，容器和叶结点也就具有属性。非常有趣的是，属性既可以是单值的，也可以是多值的。 关于活动目录，我们需要确认已理解了下列概念。一些是关于GUID的概念。GUID是一个128位的全局唯一标识符文件。它在时间和空间意义上都是唯一的。我们也拥有用来标识类或属性的对象标识符。它就如同在整个企业范围内独一无二的TCP/IP地址。美国所有公司都拥有一个以1.2.840打头OID。以下是一些由登记机构提供的OID。我们可以看到，Microsoft DS中所有的OID均以1.2.840.113556.1打头。而语法则定义了你可以在属性中存储的数值类型。这些值是用OID来定义的。这里有一些语法举例：属性中可存储DN、二进制数、数字串或UTC时间。 让我们就对条目所做的剖析进行回顾。如果我们有一个条目，它就拥有属性。这些属性中的一部分是强制性的，而决定上述属性对于某一条目是否具有强制性的因素是在规划中定义的。如前所述，这些属性可以是单值的，也可以是多值的。另一套属性是可选属性。可选属性也是为规划中的条目而定义的。最后，我们还有一些叫做操作属性的东西。这些属性不是在清除条目时设置的，它们由系统在创建过程中设置，并可在任何必要时进行