手把手教您配置Liunx目录服务器.docxVIP

手把手教您配置Liunx目录服务器 信息来源:it168 近几年，随着LDAP (Light Directory Access ProtocoL轻量级H录访问协议)技术的兴起和应用领 域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资 源杳找、用八访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服 务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。 对于任何一?家人IT网络的企业来说，IT系统中的H录服务功能是必不可少的。如果一个在全国有多 个分支机构的企业，已经有了一个内部网络系统，每一个分支机构都有一个局域网，局域网之间通过专线 或者VPN通道连接在一起，那么，如何将网络屮的资源和信息有效地管理起來呢？通常，这个企业可以 在毎一个分支机构或者毎个城市建立一个录服务器，任何地方的员丁连接到木地录服务器就可以访问 到日录树中所有的信息，在日录服务器Z间复制日录信息，以保持同步。比如，人事部门看到的人员日录 与财务部门、设备管理部门看到的人员目录是完全一致的，他们所使用的应用系统无须再建立另一套目录 结构。当然，这一切都是要经过身份验证的。 目录服务冇着如此重要的作用，但在过去，企业通常采用基于Windows的目录服务器，Linux在这 方而和形逊色。作为Windows的核心内容，H录服务被企业IT人员认为是Windows与Linux和比最 具竞争力的部分，也成为Linux产品架构中的软肋。随若Red Hat Enterprise Linux 4.0出现，这个 情况已经改变了。RHEL4内附的LDAP服务器为0penLDAP 2.2.13-2版，OpenLDAP 2.x包括数 个重要功能： 1.支持 LDAPv3 - OpenLDAP 2.0 除了其它改善外还支持 SASL (SimpleAuthentication and Security Layer) . TLS (Transport Layer Security)以及 SSL (Secure Sockets Layer) o LDAPv2 之后通讯协议很多的改变都是为了加强LDAP的安全性。 支持IPv6?OpenLDAP支持新一代的因特网通讯协议第6版。 LDAP Over I PC - OpenLDAP能够使用I PC在系统内进行通讯。这可以避免使用网络通讯以增 加安全性 使用新的应用程序界而：改善程序设计人员联机及使用程序的方法。 木文将以Red Hat Enterprise Linux 4.0为例，介绍在Linux平台使用OpenLDAP上建立日录服 务器。 一、LDAP协议简介 LDAP (轻量级11录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服 务的信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。 目录-?般用來包含描述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库 针对人量更新操作操作需要的复杂的事务管理或回卷策略。而hl录服务的更新则一般都非常简单。这种H 录可以存储包括个人信息、web链结、jpeg图像等各种信息。为了访问存储在H录中的信息，就需要使 用运行在TCP/IP之上的访问协议一LDAP。LDAP ||录中的信息是是按照树型结构组多I,具体信息存储 在条H(entry)的数据结构屮。条H相当于关系数据库屮表的记录；条H是具有区别名DN( Distinguished Name)的属性(Attribute) , DN是用来引用条目的,DN相当于关系数据库表中的关键字(Primary Key)。属性由类型(Type)和一个或多个值(Values)组成，相当于关系数据库中的字段(Field)由 字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value,而不是关系 数据库中为降低数据的兀余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置 和组织关系进行组织，非常的直观。LDAP系统结构图见图1. LDAP的信息是以树型结构存储的，在树根一燉定义国家(c=CN)或域名(dc=com),在其下则往往定 义一个或多个组织(organization)(o=Acme)或纽织单元(organizational units) (ou=People)。一个 组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。 此外，LDAP支持对条II能够和必须支持哪些屈性进行控制，这是有一个特殊的称为对彖类别 (objectclass)的屈性来实现的。该屈性的值决定了该条目必须遵循的一些规则，其规定了该