[LDAP基本概念.docVIP

?LDAP基本概念 LDAP(Lightweight Directory Access Protocol)是一种基于计算模型的客户机/服务器X.500目录服务访问协议。LDAP是从X.500目录访问协议的基础上发展过来的，它是对X.500的简化，它和X.500的主要区别在于： LDAP是基于TCP/IP的，而X.500是基于OSI网络协议栈，OSI很少有真正的应用 LDAP删除了X.500中一些繁琐而不常用的功能 LDAP使用了更简洁的字符串来表示数据，而非比较复杂的结构化语法ASN1 (Abstract Syntax Notation One) LDAP客户端和LDAP服务器端交互的一般过程 LDAP客户端发起连接请求与LDAP服务器建立会话，LDAP的术语是绑定(binding)。在建立绑定时客户端通常需要指定访问用户，以便能够访问服务器上的目录信息。 LDAP客户端发出目录查询、新建、更新、删除、移动目录条目、比较目录条目等操作 LDAP客户端结束与服务器的会话，即解除绑定(unbinding) LDAP和RFC文档LDAP协议的版本目前是3.0，它是有一系列RFC组成成的：RFC2251 Light-weight Directory Access Protocol 主要定义了LDAP的操作、在客户端和服务器之间的交换的消息格式。为了更好地支持国际化，它规定数据用UTF-8表示。此外，相对旧版本RFC2251又添加了referral的功能，并把schema本身存放到目录中，使得客户端可以读取schema信息RFC2252 Light-weight Directory Access Protocol -- Attribute Syntax DefinitionRFC2253 Light-weight Directory Access Protocol -- UTF-8 String Representation of Distinguished NamesRFC2254 Light-weight Directory Access Protocol -- The String Representation of LDAP Search FiltersRFC2255 Light-weight Directory Access Protocol -- The LDAP URL formatRFC2256 A summary of X.500 user schema for use with LDAP v3一些常用的objectClass和属性已经由X.500定义，该RFC对这些在LDAP中使用的objectClass作了总结。LDAP的四层模型 Information model 描述LDAP目录结构 Naming model 描述目录条目的唯一标识方法 Functional model 描述LDAP支持的操作 Security 描述目录信息的访问控制 Information model目 录条目是LDAP中最基本的表示信息的单元，每个目录条目可以一个以上的属性，和编程语言及数据库类型定义中的属性不同，LDAP中的属性允许多值。每个 属性都属于一种类型，类型规定了属性允许存放的值的约束条件，同时也规定了该类型的数据进行比较时规则，这一点类似于关系数据库中的字符型数据的 collation。LDAP中是用语法(syntax)这一概念来表式属性的取值约束和比较规则的。常用的LDAP Syntax有：bin 二进制信息ces 大小写敏感比较，也就是所谓的directory stringcis 大小写不敏感比较tel 电话号码，字符串中的空格、减号在比较时会被去掉dn 标识Generalized TimePostal Address属性定义在LDAP中是全局的，属性名称通常有简写形式，常用的属性如下：commonName, cn cis John Smithsurname, sn cis SmithtelephoneNumber tel 021organizationalUnitName, ou cis itowner dn cn=John Smith, o=SUN, c=CNorganization, o cis SUNjpegPhoto bin 在 属性的基础上LDAP还用schema进一步约束目录条目。schema是一种类型定义机制，每种类型定义又成为objectClass，它规定一个该类 型的目录条目实例必须的和可选的属性等其它约束。和面向对象的编程语言相似，objectClass支持继承，并且所有的object