LDAP技术应用.docVIP

LDAP技术应用 　　摘要：介绍了LDAP目录服务技术的简单应用，它是许多新型技术实现信息存储、管理和查询的首选方案。在安全上，LDAP Security是基于ACL的，它通过给一个用户组分配LDAP操作资源来最终完成权限的控制。 　　关键词：LDAP；安全；模型 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)34-1637-02 　　LDAP Technology Applications 　　CHEN Yue-bin 　　(Zengcheng College of South China Normal University, Guangzhou 511363, China) 　　Abstract: Introduction the LDAP directory services on the simple application of technology，it is many new technologies of information storage, management and query the preferred option. On the issue of security, LDAP Security is based on the ACL, it passed to a user group allocation of resources to LDAP operations to complete the final authority control. 　　Key words: LDAP; security; pattern 　　1 引言 　　近几年，随着LDAP（Light Directory Access Protocol，轻量级目录访问协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。 　　2 LDAP概念 　　LDAP（Lightweight Directory Access Protocol），轻量级目录访问协议。它是目录访问协议的一个标准。它是基于X.500标准的，可以根据需要定制。轻量级目录访问协议以信息目录的形式存在，在该目录中可只定义一次用户和组，而在多台机器和多个应用程序间共享它们。 　　LDAP定义与目录服务进行通信所使用的操作，如何找到目录中的实体，如何描述实体属性，以及许多安全特性。这些安全特性可用于对目录进行身份验证，控制对目录中的实体的访问。 　　LDAP 标准中没有定义在目录服务器上存储信息的方式。为实施 LDAP 服务器，使用了许多不同的技术。这些技术包括简单的平面文件、索引文件和相关数据库。无论使用什么技术来实施目录，从 LDAP 客户端对目录的所有访问都使用相同的标准协议：LDAP。为此，尽管存在不同的内容结构，这些目录都被称为 LDAP 目录服务器。 　　在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。 　　3 LDAP Security 　　越来越多的应用开始采用LDAP作为后端用户存储。在安全上，LDAP Security是基于ACL（Access Control List）的，它通过给一个用户组分配LDAP 操作资源（比如对一个子树的查询，修改等）来最终完成权限的控制。因此在LDAP中，授权工作是以用户组为单位进行的。一个用户组一般来说是拥有如下一组属性的LDAP Entry： 　　■ 　　图1 　　其中objectclass可以为groupOfUniqueNames或者groupOfNames，它们对应的组成员属性分别是uniquemember和member。如果是动态组，objectclass为groupOfURLs。动态组一般应用在成员可以通过某种业务逻辑运算来决定的情况下。比如，经理为ZHANGSAN的全部员工。下面是一个典型的动态组，memberURL属性定义了哪些entry属于该组： 　　■ 　　图2 　　从图1中我们可以看出，用户WANTXIAOMING，ZHANGSAN，LISI属于组HR Managers。这种组和成员的关系是通过属性uniqu