第20章节 LDAP服务的配置与.ppt

第20章 LDAP服务的配置与应用 随着网络规模的增大，网络的管理变得越来越复杂。目录服务由于灵活方便、安全可靠、支持分布式环境等优点，逐渐从提供公共查询服务的角色变为网络资源管理的平台，并成为网络智能化管理的一种基础服务。本章主要介绍目录服务的概念，常见的目录服务种类，LDAP目录服务的安装、使用、配置和管理等内容。 20.1 目录服务概述 从本质上讲，目录服务实际上就是一种信息查询服务，它采用客户端/服务器结构，使用树状结构的目录数据库来提供信息查询服务。目录服务在网络信息的组织和查询、网络本身的资源管理等方面得到了广泛的应用。下面介绍一下有关目录服务的概念、X.500目录服务、LDAP目录服务以及常见的目录服务产品。 20.1.1 目录服务 UNIX的目录是一种树状结构，目录中包含了文件和子目录，目录和文件的安全通过访问权限进行控制。UNIX中的目录实际上是目录服务中提到的目录的的一个子集，作为一种网络协议的目录服务协议DAP（Directory Access Protocol），远比Unix文件系统的目录要复杂，其功能和安全性能要强得多。 20.1.2 X.500简介 X.500是由国际标准化组织制订的一套目录服务标准，它是一个协议族，定义了一个机构如何在全局范围内共享名称和与名称相关联的对象。通过它，可以将局部的目录服务连接起来，构成基于Internet的分布在全球的目录服务系统。X.500采用层次结构，其中的管理域可以提供这些域内的用户和资源信息，并定义了强大的搜索功能使得获取这些信息变得简单。 20.1.3 轻量级目录访问协议LDAP X.500虽然是一个完整的目录服务协议，被公认为是实现目录服务的最好途径，但由于过于复杂等原因，使得它在实际的应用过程中存在着不少障碍。目前，X.500主要运行在UNIX机器上，而且支持的应用程序非常少。 1．LDAP概况 2．LDAP特点 20.1.4 LDAP的基础模型 在LDAP协议中，定义了下面四种基本的模型。 信息模型 —— 描述了LDAP目录的信息表示方式及数据的存储结构。 命名模型 —— 描述数据在LDAP目录中如何进行组织与区分。 功能模型 —— 描述了可以对LDAP目录进行哪些操作。 安全模型 —— 描述了如何保证LDAP目录中数据的安全。 20.1.5 流行的LDAP产品 目前，很多的公司推出了支持LDAP协议的产品，比较知名的主要有以下几个。 1．eTrust Directory 2．Active Directory 3．Novell eDirectory 4．Sun ONE Directory Server 20.2 架设OpenLDAP服务器 在Linux系统中，架设目录服务器时最常用的软件是OpenLDAP，它可以免费获得，并且已经包含在RHEL 5发行版中。下面介绍一下有关OpenLDAP目录服务器的架设方法，包括OpenLDAP的安装、运行、配置管理和使用等内容。 20.2.1 OpenLDAP服务器的安装与运行 OpenLDAP是一个开放源代码的软件，可以免费获取使用，其主页地址是/，目前最新版是2.4.12版。主页网站只提供源代码的下载，文件名是openldap-2.4.13.tgz。另外，也可以使用RHEL 5发行版提供的RPM包进行安装，其版本号是2.3.27。默认情况下，RHEL 5并没有安装OpenLDAP服务器，需要从第二张光盘把openldap-servers-2.3.27-5.i386.rpm文件复制过来。另外，安装openldap-servers-2.3.27-5.i386.rpm时还需要libtool-ltdl-1.5.22-6.1.i386.rpm文件的支持，也要一起复制过来，再用以下命令进行安装。 20.2.2 OpenLDAP服务器的主配置文件 OpenLDAP服务器的主配置文件是/etc/openldap/slapd.conf，RPM包安装完成后，里面已经包含了初始的配置内容。OpenLDAP服务器配置文件的格式符合UNIX系统下大多数配置文件的习惯，“#”是注释符，其后的内容将被忽略，空行也被忽略。但要需要注意的是，每一项配置都以第一列开始，前面不能有空格。下面是对/etc/openldap/slapd.conf文件初始内容的解释。 20.2.3 使用LDIF添加目录树 在初始的OpenLDAP服务器配置中，定义了一个名为的例子目录树。在实际应用中，用户需要根据自己的实际情况定添加自己的目录树。 20.2.4 使用图形界面工具管理LDAP目录 对于一般用户来说，掌握命令行操作方式不是一件容易的事，他们一般希望能通过图形界面进行操作。为此，许多第三方软件提供了图形界面的LDAP目录