Ative Diretry管理和构架-第部分(身份认证Kerbers及LDAP协议).pptVIP

X.500 X.500是由国际电信标准组织所制定的目录服务技术标准，由于架构制定过于庞大复杂且耗费系统资源，所以很难实作而不被业界采用 后来OSI为了改善上述问题，便针对X.500标准进行精简，重新规划一种较简洁又有效率的通讯协议，即LDAP(Lightweight Directory AccessProtocol，轻型目录访问协议) LDAP最早是被当作X.500的前端通讯协议，后来则逐渐演变成以LDAP服务器为主 LDAP客户端/服务器与X.500 之间的关系 请求与回应 什么是LDAP LDAP （轻量级目录访问协议）是一种协议定义LDAP服务器和LDAP客户端的之间通讯。 LDAP服务器存储“目录” ，提供LDAP的客户访问 LDAP的是所谓的轻 ，因为它是一个体积较小，采用TCP/IP，相对于X.500 （目录访问协议）的定义在OSI的网络协议栈上。 LDAP服务器分层存储目录信息。 LDAP定义了四种基本模型 模型 说明 信息模型 说明了LDAP目录中可以存储哪些信息； 命名模型 说明了如何组织和引用LDAP目录中的信息； 功能模型 说明了LDAP目录中的信息处理，特别是如何访问和更新信息； 安全模型 说明如何保护LDAP目录中的信息不受非授权访问和修改。 信息模型 LDAP的信息模型是以模式（Schema）为基础的，以项目（Entry）为核心的。 模式由若干项目组成，项目是描述客观实体的基本单位，项目由描述客观实体具体信息的一组属性（Attribute）构成。 属性只能有一种类型（Type），可以有一个或多个值（Value）。属性的类型具体说明属性值可以存储哪些信息，以及这些信息的行为特性。 命名模型 在LDAP目录中，项目是按照树形结构组织的，根据项目在树形结构中的位置对项目进行命名，这样的命名通常称为标识（Distinguished name），简称DN。 DN由若干元素构成，每个元素称为相对标识（Relative distinguished name），简称RDN。RDN由项目的一个或多个属性构成。 功能模型 LDAP的功能模型涉及以下三个方面： 询问（Interrogation） LDAP在信息询问方面主要定义了查找（Search）和比较（Compare）两个操作。 更新（Update） LDAP在信息更新方面定义了新增（Add）、删除（Delete）、修改（Modify）和修改RDN（Modify RDN）等四个操作。 身份验证（Authentication） LDAP在身份验证方面定义了连接（Bind）、断接（Unbind）和作废（Abandon）等三个操作。 安全模型 LDAP的安全模型是以客户端的身份信息为基础的。客户端的身份信息通过连接操作提供给服务器，服务器根据身份信息对客户端提出的访问请求进行控制。 在LDAP中存在一个被称为访问控制列表（Access Control List，以下简称ACL）的文件，控制各类访问请求具有的权限。ACL文件中的控制方式具有极大的弹性：即可以在大范围上控制某一类资源可以被某类甚至某个用户访问，还可以具体到资源类中的任何一个属性。 demo 实验4-1 LDAP整合Outlook和Outlook Express等邮件客户端软件 几个工具 名称 描述 Ldifde 将测试后的架构扩展推向生产环境的首选方法。此外，还可以扩展架构，将 Active Directory 用户和组信息导出到其他应用程序或服务中，以及将来自其他目录服务的数据导入 Active Directory。 Csvde 使用以逗号分隔的变量 (CSV) 格式存储数据的文件，在 Active Directory 中导入和导出数据。支持基于 CSV 文件格式标准的批处理操作。 ADSI 作为 Active Directory 的低级编辑器。可查看目录中的所有对象（包括架构信息）、修改对象，并设置对象的访问控制列表。 LDP 基于 GUI 的支持实用程序。对任何与 LDAP 兼容的目录（包括 Active Directory）执行轻型目录访问协议 (LDAP) 操作（连接、绑定、搜索、修改、添加、删除）。 Csvde 使用以逗号分隔 (CSV) 格式存储数据的文件从 Active Directory 导入和导出数据。还可以支持基于 CSV 文件格式标准的批处理操作。 范例 将 Active?Directory 数据导出至名称为 search.txt 的文件，将搜索范围设置为子树，并为在搜索中找到的每个对象列出了 sAMAccountName、CN 和 distinguished name 属性： csvde -f search.txt -p subtree -l SamAccountName,CN