ldap使用手册.docVIP

LDAP使用手册 LDAP介绍 LDAP就是一种目录，或称为目录服务。LDAP的英文全称是Lightweight Directory Access Protocol，即轻量级目录访问协议，是一个标准化的目录访问协议，它的核心规范在RFC中都有定义[16][17]。LDAP基于一种叫做X.500的标准，X.500是由ITU-T和ISO定义的目录访问协议，专门提供一种关于组织成员的电子目录使得世界各地因特网访问权限内的任何人都可以访问该目录。在X.500目录结构中，需要通过目录访问协议DAP，客户机通过DAP查询并接收来自服务器目录服务中的一台或多台服务器上的响应，从而实现对服务器和客户机之间的通信控制。然而DAP需要大量的系统资源和支持机制来处理复杂的协议。LDAP仅采纳了原始X.500目录存取协议DAP的功能子集而减少了所需的系统资源消耗，而且可以根据需要进行定制。 在实际的应用中，LDAP比X.500更为简单更为实用，所以LDAP技术发展得非常迅速。目前在企业范围内实现的支持LDAP的系统可以让运行在几乎所有计算机平台上的所有应用程序从LDAP目录中获取信息，LDAP目录中也可以存储各种类型的数据，如:电子邮件地址、人力资源数据、公共密匙、联系人列表，系统配置信息、策略信息等。此外，与X.500不同，LDAP支持TCP，这对当今Internet来讲是必须的。目前己有包括微软、IBM在内的几十家大型软件公司支持LDAP技术。1997年发布了第三个版本LDAPV3[17]，它的出现是LDAP协议发展的一个重要转折，它使LDAP协议不仅仅作为X.500的简化版，同时提供了LDAP协议许多自有的特性，使LDAP协议功能更为完备，安全性更高，生命力更为强大。 1.1组成LDAP的四个模型 组成LDAP的四个模型是：信息模型，命名模型，功能模型，安全模型。 1.1.1信息模型 LDAP信息模型定义能够在目录中存储的数据类型和基本的信息单位。这个基本的信息单位是条目(entry)——即关于对象的信息集合。通常，条目中的信息说明真实世界的对象，比如人员、部门、服务器、打印机等真实对象。 条目是属性的集合，每个属性描述对象的一个特征。每个属性有一个类型和一个或多个值。属性类型说明包含在此属性中的信息的类型，而值包含实际的数据。所有条目都有一个必须属性集合和一个可选属性集合，属性的约束用来限制作为属性值的数据的类型和长度。例如一个描述人的条目必须有一个cn属性和一个sn属性。人的条目中还有许多其他属性是可选的，而不是必须的。所有关于必须属性和可选属性的信息集合统称为模式(schema)，目录模式对存储在目录中的信息的类型和值保持控制和维护。 1.1.2命名模型 LDAP命名模型定义用户如何组织和引用数据。目录中的所有目录条目按照层次模型进行排列，它是一个分级或类似树状的结构，主要是为了更好的存储和搜索目录树中的对象。 命名模型描述的就是目录信息树(Directory Information Tree，DIT)，DIT包含网络环境信息，子树能从主干上分枝。这与DNS的分级结构是相似的。DIT中的每个对象，如用户，就成为目录服务条目(Directory Service Entry，DSE)，简称条目。条目是信息模型的基本单位。DIT中的每个对象在LDAP结构中必须是唯一的，因此用户必须使用辨识名(Distinguished Name，DN)，用它在DIT范围内代表一个对象的完整名称，辨识名由目录名和该目录条目到目录根部的路径所组成。在最顶层的目录条目代表的是国家或者国际组织，比如US(美国)，CN(中国)等，而在每个国家的目录条目下是省或州。在最底层的目录条目代表的是人或者某些具体资源。这是传统的X.500遵循的命名模型，是以地理位置和国家区域为基础的。LDAP支持X.500的命名模型，同时也引入新的基于域名系统DNS的命名模型，可以利用dc域组件(domain Component)属性将DN以DNS的方式表示，例如“SJTU.edu”被表示为“dc=SJTU，dc=edu”。我们采用LDAP的这种DNS的方式组织LDAP中的条目，上面的条目来表示上海交通大学。 LDAP命名模型提供了较大的灵活性，使用户可以用一种易于管理的方式把条目放入目录。可以创建一个条目描述一个组织，再把描述组织中人的信息的所有条目都放在这个条目之下。 1.1.3功能模型 LDAP功能模型说明了能够使用LDAP协议对目录执行的操作。LDAP功能模型包含一个可以分成三类的操作集合: 1)查询类操作允许用户搜索目录并取回目录数据。 2)更新类操作允许用户对目录条目进行添加、删除和修改和重命名，即修改RDN。 3)认证和控制类操作允许客户端向目录证明自己的身份。 除了这三类主要的