LDAP工作原理学习.docxVIP

Ladp学习总结 ldap工作原理 ladp是指轻量目录访问协议，它出现的目的是为了实现企业资源的集中管理。工作原理是通过将一个给定的逻辑范围内（不受地理位置限制）的所有资源（包括计算机、用户账号、打印机等）集中存放在一个公共数据库内，管理员和用户就可以通过对这个数据库的管理和访问实现集中性。 Ladp目录以树状的层次结构来存储数据，目录服务和关系数据库不同，目录服务不支持批量更新事务处理能力，目录一般只执行简单的更新操作，适合于进行大量数据的检索；目录具有广泛的复制信息的能力，从而在缩短响应时间的同时，提高了可用性和可靠性。 Ladp的基本模型 Ladp的基本模型是建立在条目的基础上。一个条目是一个或者多个属性的集合，并且具有一个全局唯一的“可区分名称”（用dn表示）。于数据库相比，一个条目相当于数据库中的一条记录，而dn相当于数据库中记录的关键字，属性则相当于数据库中的字段。Dn必须是全局唯一的。 如下图：图1所示： LDAP 使用专有名称（DN）的概念来识别 LDAP 树上特定的节点。每个节点具有惟一的 DN，它包含该节点完整的层次结构信息。例如，图 2 展示了图 1 中的一些节点的 DN：图 2. LDAP 目录节点的专有名称首先，注意图 2 中根节点的 DN。它的 DN 为 dc=org，这是与 org 根节点相关的属性值对。每个节点都有若干个与之相关的属性。dc 属性代表 “domain component” 并由 LDAP RFC 2256 定义（参见 \l resources 参考资料 中有关官方 RFC 文档的链接），LDAP 目录中的根节点通常表示为一个域组件。每个 LDAP 属性是由 RFC 定义的。LDAP 允许使用多个属性创建一个 DN，但是本文的示例只使用了以下 4 个属性： dc（域组件） o（组织） ou（组织单元） uid（用户 ID） 示例使用 dc 表示域，用 o 表示组织名称，ou 表示组织的不同单元，而 uid 表示用户。由于 org 是根节点，其 DN 只需指定自身的名称（dc=org）。比较一下，manufacturingEnterprise 节点的 DN 是 o=manufacturingEnterprise,dc=org。当向下移动节点树时，每个父节点的 DN 被包含在其子节点的 DN 中。 ldif文本条目格式 ldap是一个空目录，需要先创建ldif文件，然后将ldif文件中的条目添加到目录。ldif用文本格式表示目录数据库的信息，以便用户创建、阅读和修改。在ldif文件中，一个条目的基本格式如下： #注释 Dn：条目名 属性描述：值 属性描述：值 ………… 一个ldif文件中可以包含多个条目，每个条目之间用一个空行分割。例如，以下每个内容组成一个条目： 1：dn：dc=dlw，dc=com 2：objectclass：top 3：objectclass：dcobject 4：objectclass：organization 5：dc：dlw 6: o：dlw，inc 在以上文本中，各行含义如下 第一行的dn定义该条目的标识。 第2—4行定义该条目的objectclass，可以定义多个属性，条目的树形根据objectclass的不同而不同，有的objectclass有必须设置的属性。如这三个类别中top没有必须定义的属性，dcobject必须定义属性dc，用来表示一个域名的部分，而organization必须定义属性o，用来表示一个组织的名称。 根据objectclass的要求，第5、6行分别定义属性dc和属性o的值。 Objectclass Ladp中，一个条目必须包含一个objectclass属性，且需要赋予至少一个值。每一个值将用作一条ldap条目进行数据存储的模板：模板中包含了一个条目必须被赋值的属性和可选的属性。 Objectclass有严格的等级之分，最顶层的是top和alias。例如：organizationperson这个objectclass隶属于person，而person隶属于top。 Objectclass可分为以下3类： 结构型（structural）：如person和organizationunit； 辅助型（auxiliary）：如extensibleobject； 抽象型（abstract）：如top，抽象型的objectclass不能直接使用。 在openldap的schema中定义了很多objectclass，top下面是常用objectclass的名称 authPasswordObject subschema top alias applicationEntity dSA a