LDAP概念体系结构及设计.docxVIP

概念和体系结构本节讨论 Senior Level Linux Professional（LPIC-3）考试 301 的 301.1 主题的内容。这个主题的权值为 3。 在本节中，学习： LDAP 和 X.500 技术规范 属性定义 目录名称空间 区别名 LDAP Data Interchange 格式 元目录 changetype 操作 LPIC-3 考试主要针对 Lightweight Directory Access Protocol（LDAP）的使用。因此，第一个目标是了解 LDAP 是什么、它的作用是什么以及这个概念背后的一些基本术语。了解了这些知识之后，就能够开始设计自己的目录并将应用程序与目录集成起来。LDAP 是什么？在讨论 LDAP 之前，先回顾一下目录的概念。目录的典型例子是电话簿，电话簿中按照字母表次序列出人名以及他们的电话号码和地址。每个人（或家庭）代表一个对象，电话号码和地址是这个对象的属性。一些对象是企业而不是个人，这些对象可能有传真号码或营业时间等属性。与印刷的目录不同，计算机目录本质上是层次化的，允许将对象放在其他对象下面，形成父-子关系。例如，可以扩展电话目录，让它包含代表城市地区的对象，每个个人和企业对象分别归入对应的地区对象。这些地区对象归入城市对象，城市对象进一步归入州或省对象，依此类推，形成图 1 这样的层次结构。这种结构会使印刷的目录更难使用，因为需要知道人名和地理位置才能进行查询，但是计算机可以对信息进行排序和搜索目录的不同部分，所以这不是个问题。图 1. 一个示例目录看一下图 1，Simpson 的记录表明的信息不仅仅是地址和电话号码。您还知道他处于 Springfield 城的东部。这个结构称为树。在这里，树的根是 Springfield 对象，其他对象代表分支的不同级别。这种基于目录的数据存储方式与您熟悉的关系数据库很不一样。为了比较这两种模型，图 2 显示在采用关系数据库模型的情况下电话数据的样子。图 2. 采用关系形式的目录数据在关系模型中，每种类型的数据是一个单独的表，允许存储不同类型的信息。每个表还有一个指向父表的链接，这样就能够保存对象之间的关系。注意，如果要添加更多的信息字段，就必须修改表的结构。请记住，目录模型没有对数据在磁盘上的存储方式施加任何限制。实际上，OpenLDAP 支持许多种后端，包括平面文件和 Structured Query Language（SQL）数据库。表在磁盘上的布局机制在很大程度上是对用户隐藏的。例如，Active Directory 提供一个 LDAP 接口来操作它的专有后端。LDAP 的历史LDAP 是在 Request for Comments（RFC）1487 中提出的，它作为一种访问 X.500 目录的轻量方式，替代比较复杂的 Directory Access Protocol（参见 参考资料 中这个 RFC 和相关 RFC 的链接）。X.500 是来自 International Telecommunication Union（ITU，以前称为 CCITT）的一组标准，指定了如何实现目录。您可能熟悉 X.509 标准，这个标准构成大多数 Public Key Infrastructure（PKI）和 Secure Sockets Layer（SSL）证书的核心。在此之后，LDAP 发展到了第 3 版，在 RFC 4511 中定义。最初，连接 X.500 数据库需要按照真正的 ITU 方式使用 Open Systems Interconnection（OSI）协议簇，这要求理解大量的协议文档。LDAP 使基于 Internet Protocol（IP）的网络能够连接相同的目录，而且所需的开发周期比使用 OSI 协议时短得多。最终，IP 网络的流行导致 LDAP 服务器的出现，这些服务器只支持必要的 X.500 概念。尽管 LDAP 和 IP 战胜了 X.500 和 OSI，但是目录数据的底层组织仍然符合 X.500。本教程中讨论的一些概念（比如区分名和对象标识符）都来自 X.500。X.500 是一种创建全局目录系统的方法，主要用来协助用于电子邮件的 X.400 系列标准。通过一些处理，LDAP 也可以用作全局目录，但是它主要在企业的内部使用。命名和属性在 LDAP 系统中，名称是非常重要的。名称使我们能够访问和搜索记录，而且名称常常暗示出记录在 LDAP 树中的位置。图 3 显示一个典型的 LDAP 树。图 3. 一个显示用户的典型 LDAP 树树的顶部（即根）是一个称为 dc=ertw,dc=com 的实体。dc 是 domain component 的简写。因为 ertw 在顶级域 .com 下面，所以它们被分成两个不同的