轻型目录访问协议(LDAP)介绍轻型目录访问协议(LDAP)介绍.ppt

轻型目录访问协议（LDAP）介绍研究生园地 高能物理所计算中心 石京燕 内容 目录服务概述 LDAP介绍 LDAPv3扩展 目录服务的设计 目录服务概述 目录服务是一个特殊的数据库，用来保存描述性的，基于属性的详细信息，还支持过滤功能。 目录是动态的，灵活的，易扩展的。 例子：电话簿，地址簿，用户目录 内容 目录服务概述 LDAP介绍 LDAPv3扩展 目录服务的设计 LDAP介绍 什么是LDAP? LDAP协议 LDAP模型 LDIF LDAP服务器软件 LDAP Command-Line Utilities LDAP APIs 什么是LDAP LDAP(Lightweight Directory Access Protocol)代表轻量级目录访问协议。用于访问目录服务的一个标准，可扩展的internet协议。部分基于X.500标准，但更简单，更精炼，可扩展性更好。与其他某些通信协议相比，它是轻量级的。 四个模型：信息模型、命名模型、功能模型、安全模型 信息被集中存储在服务器上的LDAP目录中。数据按层次树状结构存储； 信息模型是以条目(entry)为基础，一个条目是属性的集合，并具有全局唯一 DN(Distinguished Named)，用来唯一标识。每一个条目的属性具有一个类型和一个或者多个值。 什么是LDAP(续) LDAP Data Interchanged Format(LDIF)：目录数据的基本格式 LDAP服务器：商业和开放软件 基于LDAP应用和LDAP服务器的应用程序 LDAP应用程序接口(API)：用于客户端程序的开发 LDAP协议 A message-oriented protocol 典型的LDAP数据交换 LDAP模型-信息模型 条目，属性和值 基本信息单元是条目，它是一个对象的信息集合，每个条目有一个DN。 属性类型是由相关的语法和匹配规则的。 管理员可以设定某一属性是否有多个值。 LDAP模型-信息模型（续） Part of a Typical Directory LDAP模型-命名模型 如何组织及定义数据。 将条目规划为一个树状结构。 例如：按地理位置，组织部门等划分 LDAP模型-功能模型 三组操作： Interrogation Operations：查找和恢复数据 Update Operations: 增加，删除，重命名等 Authentication and control: 加密，认证等 LDIF 可以实现数据的导入、导出 可以实现数据的修改：增加，修改，重命名条目 dn: uid=shijy,ou=cc,dc=ihep,dc=ac,dc=cn changetype: add objectclass:top objectclass:person un: Shi jingyan uid: shijy mail: shijy@ihep.ac.cn : : LDAP Server 软件 Openldap Netscape Directory Server ns-slapd IBM Security Server LDAP Command-Line Utilities 功能强大的ldapsearch 查找条目 认证 查找某些属性 用ssl查找条目 其他：过滤功能 ldapsearch –h localhost –D “cn=Manager,dc=ihep,dc=ac,dc=cn” –W –b “dc=ihep,dc=ac,dc=cn” Ldapmodify: 与ldapsearch类似 LDAP APIs LDAP C API : ldap_search() ldap_compare() ldap_bind() ldap_unbind() ldap_modify() ldap_add() ldap_delete() ldap_rename() ldap_result() 内容 目录服务概述 LDAP介绍 LDAPv3扩展 目录服务的设计 LDAPv3扩展的方面 三方面： ldap控制， ldap扩展操作， SASL认证 LDAP控制 LDAP控制 对ldap操作加一些额外的控制信息。 例如：Server- Side Sorting control 一个操作上可以使用多个控制 LDAP扩展操作 增加一些ldap操作，扩展操作包含一个OID用来唯一标识 例如：netscape定义了扩展操作，可以大批量修改数据 Sasl认证 Simple Authentication and Security Layer(SASL)是一个认证框架，支持多个认证协议，例如：Kerberos v5, DIGEST-MD5等等 内容 目录服务概