LDAP模式设计介绍.doc

LDAP入门手册 1. LDAP 概念与概览 如果你Schemas, objectClasses, Attributes, matchingRules, Operational objects 以及所有诸如此类的概念LDAP和X.500在术语上渊源颇深一些术语很重要另一些术语则无足轻重 1.1 LDPA简史A Brie Historyof LDAP) 1.2 LDAP概述LDAP Overview) 1.3 LDAP与RDBMS比较LDAP vs. RDBMS) 1.3.1 LDPA用途总结LDAP Usage Summary) 1.4 LDAP数据模型LDAP Data (Object) Model) 1.4.1对象树结构（Object Tree Structure） 1.4.2属性（Attributes） 1.4.3Object Classes） 1.4.4 记述条目树并添加数据Describing the Tree and Adding Data) 1.4.5 遍历目录信息树Navigating the Tree） 1.5 LDAP复制和引用LDAP Replication and Referrals） 1.5.1 引用Referrals） 1.5.2 复制Replication） LDAP中大小写敏感问题的简单说明:这个问题很混乱 是的我们发现这事确实很混乱passwords）和某些受限于匹配规则Rule）的特定属性（极其少见）要求区分大小写。在本文和其他文档中你会看到 objectclasses 或objectClasses甚至ObjectClasses 它们都能工作 1.1 LDPA简史A Brief Historyof LDAP) 曾经，在模糊和久远的过去（上世纪70年代末到80年代初），ITU（国际电信联盟- International Telecommunication Union）开始了X.400系列的email邮件标准的制定工作。Email标准需要一个名称hierarchical fashion）的方式进行访问，这种方式与所熟悉的DNS架构有所不同。 这种基于全球网络的目录需求导致ITU开发Directory Access Protocol），该协议用于访问网络目录服务。 X.400 和X.500系列标准被打包在整个时间很快到了上世纪0年代初期IETF看到了访问全球目录服务的需求X.519标准一样的功能但使用TCP/IP协议inter-working）。实际上，与X.500 (DAP)的交互工作inter-working）和映射一直是IETF LDAP RFCs系列标准的组成部分 注： IETF 国际互联网工程任务组（The Internet Engineering Task Force，简称IETF）在LDAP规范中很多非常纠结的问题主来自于目录根directory root）的命名规约 LDAP –大体上–与的不同之处如下 TCP/IP用于LDAPDAP使用OSI作为传输 在功能上的一些缩减 – 在X.519中一些模糊的重复的和很少使用的功能被以安静quietly）和仁慈mercifully）的方式删除 在LDAP中用文本表达方式 URLs和查找过滤器替换了ASN.1(X.519)的表达方式1.2 LDAP 概述Overview） 技术上讲LDAP只是一个定义目录数据访问方法的协议LDAP定义了 信息模型Information Model)：我们更倾向于使用术语数据模型，我们的观点是数据模型这个术语更加直观和易于理解。数据（或信息）模型定义如何在LDAP系统中表达信息或数据。它也可能包括数据的实际存储方法，但这个问题已经超出了上述LDAP标准的范围。 命名模型Naming Model）:命名模型定义所有诸如 dc=example,dc=com这样你在LDAP系统中偶然发现的名称. 这里我们特别坚持的命名规范因为这些术语被广泛使用 功能模型Functional Model）:当你在读取查找写或者修改LDAP那么你就在使用功能模型 安全模型Security Model）: 你能够以的粒度来控制谁能对哪些数据做什么这是一件复杂且强大的事情. 我们将以循序渐进的方式来引入相关的概念并有专门的一章来阐述它在开始的时候忘记安全 LDAP标准的范围如下图所示红色3，4）表示东西是在协议中定义范围之内automagical）”，并且不在标准的范围之内。 这里先简短介绍一下每个组件后续章节中会有详细的阐述而这里首先介绍LDAP没有定义数据如何被存储只是定义数据如何被访问但是大多数LDAP实现使用一个标准的数据库作为后端而OpenLDAP这样的实现还