ldap概念、体系结构和设计.docxVIP

精品word文档 值得下载 值得拥有 概念和体系结构 本节讨论 Senior Level Linux Professional（LPIC-3）考试 301 的 301.1 主题的内容。这个主题的权值为 3。 在本节中，学习： LDAP 和 X.500 技术规范 属性定义 目录名称空间 区别名 LDAP Data Interchange 格式 元目录 changetype 操作 LPIC-3 考试主要针对 Lightweight Directory Access Protocol（LDAP）的使用。因此，第一个目标是了解 LDAP 是什么、它的作用是什么以及这个概念背后的一些基本术语。了解了这些知识之后，就能够开始设计自己的目录并将应用程序与目录集成起来。 LDAP 是什么？ 在讨论 LDAP 之前，先回顾一下目录的概念。目录的典型例子是电话簿，电话簿中按照字母表次序列出人名以及他们的电话号码和地址。每个人（或家庭）代表一个对象，电话号码和地址是这个对象的属性。一些对象是企业而不是个人，这些对象可能有传真号码或营业时间等属性。 与印刷的目录不同，计算机目录本质上是层次化的，允许将对象放在其他对象下面，形成父-子关系。例如，可以扩展电话目录，让它包含代表城市地区的对象，每个个人和企业对象分别归入对应的地区对象。这些地区对象归入城市对象，城市对象进一步归入州或省对象，依此类推，形成图 1 这样的层次结构。这种结构会使印刷的目录更难使用，因为需要知道人名和地理位置才能进行查询，但是计算机可以对信息进行排序和搜索目录的不同部分，所以这不是个问题。 图 1. 一个示例目录 看一下图 1，Simpson 的记录表明的信息不仅仅是地址和电话号码。您还知道他处于 Springfield 城的东部。这个结构称为树。在这里，树的根是 Springfield 对象，其他对象代表分支的不同级别。 这种基于目录的数据存储方式与您熟悉的关系数据库很不一样。为了比较这两种模型，图 2 显示在采用关系数据库模型的情况下电话数据的样子。 图 2. 采用关系形式的目录数据 在关系模型中，每种类型的数据是一个单独的表，允许存储不同类型的信息。每个表还有一个指向父表的链接，这样就能够保存对象之间的关系。注意，如果要添加更多的信息字段，就必须修改表的结构。 请记住，目录模型没有对数据在磁盘上的存储方式施加任何限制。实际上，OpenLDAP 支持许多种后端，包括平面文件和 Structured Query Language（SQL）数据库。表在磁盘上的布局机制在很大程度上是对用户隐藏的。例如，Active Directory 提供一个 LDAP 接口来操作它的专有后端。 LDAP 的历史 LDAP 是在 Request for Comments（RFC）1487 中提出的，它作为一种访问 X.500 目录的轻量方式，替代比较复杂的 Directory Access Protocol（参见  HYPERLINK /developerworks/cn/education/linux/l-lpic3301/resources.html 参考资料 中这个 RFC 和相关 RFC 的链接）。X.500 是来自 International Telecommunication Union（ITU，以前称为 CCITT）的一组标准，指定了如何实现目录。您可能熟悉 X.509 标准，这个标准构成大多数 Public Key Infrastructure（PKI）和 Secure Sockets Layer（SSL）证书的核心。在此之后，LDAP 发展到了第 3 版，在 RFC 4511 中定义。 最初，连接 X.500 数据库需要按照真正的 ITU 方式使用 Open Systems Interconnection（OSI）协议簇，这要求理解大量的协议文档。LDAP 使基于 Internet Protocol（IP）的网络能够连接相同的目录，而且所需的开发周期比使用 OSI 协议时短得多。最终，IP 网络的流行导致 LDAP 服务器的出现，这些服务器只支持必要的 X.500 概念。 尽管 LDAP 和 IP 战胜了 X.500 和 OSI，但是目录数据的底层组织仍然符合 X.500。本教程中讨论的一些概念（比如区分名和对象标识符）都来自 X.500。 X.500 是一种创建全局目录系统的方法，主要用来协助用于电子邮件的 X.400 系列标准。通过一些处理，LDAP 也可以用作全局目录，但是它主要在企业的内部使用。 命名和属性 在 LDAP 系统中，名称是非常重要的。名称使我们能够访问和搜索记录，而且名称常常暗示出记录在 LDAP 树中的位置。图 3 显示一