LDAP元素规范与应用.doc

LDAP元素规范与应用 信息部 当前版本：v1.0 修改日期：2011-525 作 者：王兵旺 目录 一、 概述 3 二、 ldap元素解读 3 三、 ldap常用元素 5 3.1 常用元素 5 3.2 目录规范 5 四、ldap元素自定义 7 概述 本文仅描述ldap节点创建的方法及属性的匹配。通过剖析ldap的schema来讲解如何有效的产生目录节点，最后达到信息化建设与维护的目标。需要了解开源openldap的安装配置与协议请参考《OpenLdap使用手册》。 ldap元素解读 openldap通过slapd.conf文件来引入所需的schema定义。整个schema主要描述了二大类元素：objectclass与attributetype。下面请跟我一起来解读两者之间的关联。 对于objectClass来说，初学者不妨把它理解为数据库中的一个table，如此一来，attributetype就是table中的一个coloum（这样比较好理解）。与数据库中的table，coloum不同的是，ldap中的objectClass呈现一种类似与面向对象编程中的继承关系。 objectClass在ldap中的具体表现形式就是诸多的对象类定义。如organization、country、person等等。每个对象类在声明语法中都会以下几个主要部分： 1、SUP 2、MUST 3、MAY SUP表示当前objectClass继承于另外某个objectClass。ldap的objectClass能表示一种继承的上下关系，如SUP top STRUCTURAL表示top是顶层objectClass，当前的objectClass是“继承”top而来。STRUCTURAL是关键字。 MUST表示当前objectClass如果被声明使用，必须同时声明指定的attributetype。如MUST o表示当前objectClass被声明时必须同时申明一个o的属性。注意有些objectClass要求必须声明多个attributetype。 MAY表示当前objectClass如果被声明使用，可以声明也可以不声明指定的attributetype。需要注意的是一个objectClass被声明后，在进行声明attributetype时，attributetype的名称一定是在MUST与MAY指定的那些attributetype范围之中。比如一个objectClass，MUST指定为o，MAY指定为cn、text。则用户去声明一个名为teleNum的attributetype就会引起错误。 最后总结一下，所有的objectClass与attributetype不是随意命名，它们都在引入的schema文件中定义。通过阅读schema文件你能大致了解它们的含义。请主要参考core.schema（最基本的）、cosine.schema、nis.schema（网络方面声明）。这三个文件都被初始至ldap。 ldap常用元素 为了初学者更快更有效的学习并使用ldap。这里列出一些基本常用的objectClass与attributetype。一般情况下常用的元素能够满足用户的ldap目录建设与管理。 3.1 常用元素 为了更好的了解objectClass与attributetype，在列表之前先举例说明元素的应用。以dcObject（一个objectClass）为例，它用于指定一个domain，必须声明的attributetype为dc，如下图 图中申明了一个域，那么attributetype的所有声明中必须要有名为dc的Attribute。当然objectclass本身也会在内容中显示出来，但它并不是一个真正的Attribute，仅仅是显示当前包含有dcObject的objectClass。通过这个显示用户可以清晰的去查找当前是否有满足此objectClass的attributetype。 下面提供了元素的列表，列表中objectClass的含义一般给出了描述，attributetype数目众多暂时不提供描述，用户可以在core.schema、cosine.schema、nis.schema文件中查找阅读对应的attributetype描述信息。 3.2 目录规范 介绍完常用的元素后，我们需要正确的使用它来构建目录服务管理。以下的一些规范可以作为应用参考。 1、首先建立好ldap根目录，如图 2、其次采用所有人员、机器、文件归