[LDAP技术研究.docVIP

LDAP技术报告 一、目录和目录服务 LDAP(Lightweight Directory Access Protocol)轻型目录访问协议是目录访问协议的一种。因此下面首先介绍什么是目录和目录服务。 目录是一个以一定规则排列的对象的属性集合，是一个存储着关于对象各种属性的特殊数据库，这些属性可以供访问和管理对象时使用，类似电话簿和图书馆卡片分类系统。这里，我们所谈的目录服务是指网络目录服务。目录服务是指一个存储着用于访问、管理或配置网络资源信息的特殊数据库（also called data repository），它把网络环境中的各种资源都作为目录信息，在目录树结构中分层存储，对这些信息可以存储、访问、管理并使用。网络中的这些资源包括用户、各个应用系统、硬件设备、网络设备、数据、信息等。目录服务是为有效的集成管理网络目录中的信息提供服务，是支持网络系统的重要底层基础技术之一。 目录服务将分布式系统中的用户、资源和组成分布式系统的其它对象统一的组织起来，提供一个单一的逻辑视图，允许用户和应用透明地访问网络上的资源。一个由目录服务支持的网络系统是一个集成的、网络化的、统一的系统，而不是各个独立功能部分的简单聚合。在目录服务系统中对象可以根据名字或功能、属性访问，而不是根据机器地址、文件服务器名字和mail地址等访问。在目录服务的基础上开发的应用，易于使用、功能增强和易于管理，目录信息的共享为应用的开发提供了方便。下一代分布式网络的信息模型和模式是一种基于目录的，当我们进入网络时，是登录到一个基于目录的网络中，而不是登录到某个机器上。 目录服务可以存储信息种类： 用户帐户信息（登入名、口令、权限） 用户个人信息（电话号码、地址、雇员ID号） 外围设备配置信息（打印机、调制借调器、传真） 应用程序配置信息 安全信息 网络基础设施配置信息（路由器、代理服务器、INTERNET访问设置） 人们可以想得到的，网络目录中都可以存储 这些信息集中在一个标准数据库中，就可以有多种不同的使用方法。其中，最普通的是供系统管理员用于网络访问控制和网络资源访问控制。目录将成为对许多网络活动进行集中控制的地方。 控制的例子： 用户登入进入一个网络，系统进行认证和权限判定； 用户进入网络后，访问网络中的资源，系统向目录服务查询该用户是否具有使用该资源的权限，并返回所请求资源的物理地址。 个人用户可以使用目录服务存储个人设置信息，并可以对其所有环境进行集中存储和控制。 随着目录服务技术的成熟，人们可以使用该技术通过一些网络设备监视和控制网络传输情况。 目录服务的基本功能： 资源信息的目录式表示、分布存储、资源定位和查找、用户的统一认证、系统资源的统一授权、系统资源信息的共享、系统资源的单点统一管理、安全传输的保证、资源的统一监控等。 目录服务的主要优点： 网络管理工作大大减轻，包括管理网络上的各个应用； 网络的集中管理点； 访问用户信息的集中控制点； 存储在其它条件下很难处理的管理信息 系统资源信息的利用率高、管理的可扩展性好 简单地说，目录的发展经历了书面目录（电话目录、医士列表）——基于计算机的目录（PIM，不易共享、必须访问到响应的软件和计算机）——网络目录（公共的、共享的、统一的）。 传统的目录是计算机或网络基础结目录的一个构件，它向其它应用程序提供服务，但没有提供集成管理的机制，网络上的计算和服务需要一种公共的、分布式的目录，能够跨平台地对应用程序和用户提供集中、统一的服务。目录服务将使网络上的系统资源管理朝着单一的、全网络的目标发展，并能够让用户、管理员以更容易的方式来管理网络环境。目录服务作为一种工具来减少大型网络的管理负担，提供了集中的单点管理和适应复杂环境所必须的灵活性，减轻了非目录服务系统中存在的冗余管理。 通过网络资源逻辑接口，目录服务（ADS）减少了人们为了利用网络功能而必须对网络掌握的程度。也就是说，普通用户只需要很少的网络知识，就可以通过复杂网络访问和使用资源。用户不需要再了解资源的物理分布，访问本地打印机的方法和访问远程网络资源的方法相同。目录服务（ADS）提供了逻辑表示与资源的网络上的物理位置的连接，从用户的角度看，这可能是转移到基于目录的网络操作系统具有的最大优点。） 目录服务和数据库的区别： 读多于写 一般不支持事务处理 信息访问方式不同（一个是SQL、一个是LDAP的API） 目录中的信息一般不要求严格的一致性 传统的数据库是平面的，无法表示资源之间及资源使用控制的复杂逻辑关系而远远不能满足当前资源信息管理的各种要求。 目录服务与DNS系统的相同之处和不同之处 相同之处： 分布存储 树型层次结构 容错 不同之处： DNS的功能和目录服务不同，DNS功能单一，本质上是将主机名解析成IP地址。目录