LDAP基础知识

最新推荐文章于 2023-09-05 16:07:10 发布
最新推荐文章于 2023-09-05 16:07:10 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: LDAP 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Souwy/article/details/84788210
版权

LDAP基础知识

基本概念

objectclass:LDAP对象类,是LDAP内置的数据模型。比如我们写了person这个属性类,那么我们就一定需要填写用户名等。各种属性,如果拥有account属性则必须填写uid或者userid属性。 可以拥有多个objectClass但是需要注意有些不能兼容。
Entry:entry可以被称为条目,一个entry就是一条记录,是LDAP中一个基本的存储单元;也可以被看作是一个DN和一组属性的集合
DN:Distinguished Name,LDAP中entry的唯一辨别名,一条完整的DN写法:uid=XX,ou=组织名,dc=xx,dc=xx。LDAP中的entry只有DN是由LDAP Server来保证唯一的。
LDAP Search filter:使用filter对LDAP进行搜索。 Filter一般由 (attribute=value) 这样的单元组成,比如:(&(uid=ZHANGSAN)(objectclass=person)) 表示搜索用户中,uid为ZHANGSAN的LDAP Entry.再比如:(&(|(uid= ZHANGSAN)(uid=LISI))(objectclass=person)),表示搜索uid为ZHANGSAN, 或者LISI的用户;也可以使用来表示任意一个值,比如(uid=ZHANGSAN),搜索uid值以 ZHANG开头SAN结尾的Entry。更进一步,根据不同的LDAP属性匹配规则,可以有如下的Filter: (&(createtimestamp>=20050301000000)(createtimestamp<=20050302000000)),表示搜索创建时间在20050301000000和20050302000000之间的entry。
Filter中 “&” 表示“与”;“!”表示“非”;“|”表示“或”。根据不同的匹配规则,我们可以使用“=”,“~=”,“>=”以及“<=”,更多关于LDAP Filter读者可以参考LDAP相关协议。
Base DN:一条Base DN可以是“dc=163,dc=com”,也可以是“dc=People,dc=XX,dc=XX”。执行LDAP Search时一般要指定basedn,由于LDAP是树状数据结构,指定basedn后,搜索将从BaseDN开始,我们可以指定Search Scope为:只搜索basedn(base),basedn直接下级(one level),和basedn全部下级(sub tree level)。
dc: Domain Component,域名的部分,其格式是将完整的域名分为几部分,比如example.com,dc=example,dc=com,
uid:User ID 用户id,随便取的
ou:Organization Unit 组织单位,类似于Linux文件系统中的字目录,比如/root 座位base dn ,我们假设root/data下面有一个text.txt文本。 那么完整的dn写法为 dn:uid=text.txt,ou=data,dc=root,dc=com 类似这种意思的
cn:Common Name 类似于公共名称
sn:真实名称
rdn:相对辨别名,类似于文件系统中的相对路径

objectClass介绍

LDAP中,一个条目(Entry)必须包含一个对象类(objectClass)属性,且需要赋予至少一个值。每一个值将用作一条LDAP条目进行数据存储的模板;模板中包含了一个条目必须被赋值的属性和可选的属性。
objectClass有着严格的等级之分,最顶层是top和alias。例如,organizationalPerson这个objectClass就隶属于person,而person又隶属于top。
objectClass可分为以下3类:
结构型(Structural):如account、inetOrgPerson、person和organizationUnit;
辅助型(Auxiliary):如extensibeObject;
抽象型(Abstract):如top,抽象型的objectClass不能直接使用。
每种objectClass有自己的数据结构,比如我们有一种叫“电话薄”的objectClass,肯定会内置很多属性(attributes),如姓名(uid),身份证号(uidNumber),单位名称(gid),家庭地址(homeDirectory)等,这些属性(attributes)中,有些是必填的,例如,account就要求userid是必填项,而inetOrgPerson则要求cn(common name,常用名称)和sn(sure name,真实名称)是必填项。
由上可见,accout仅仅预置了几个必要且实用的属性(完成登陆验证肯定是够了),而inetOrgPerson内置了非常之多的属性,例如电话号码、手机号码、街道地址、邮箱号码,邮箱地址,房间号码,头像,经理,雇员号码等等。

因此,在配置LDAP时,如果仅仅是基于验证登陆的目的,建议将objectClass类型设置为accout,而如果希望打造一个大而全的员工信息宝库,建议将objectClass设置为inetOrgPerson。
上面已经写出,account的必要属性是userid,而
posixAccount的必要属性是cn、gidNumber、homeDirectory、uid、uidNumber;
shadowAccount的必要属性是uid,可选属性有shadowExpire、shadowInactive、shadowMax、shadowMin、userPassword等;
top必要属性是objectClass(可见,top和其它objectClass是继承的关系)。

示例介绍

添加组织示例
dn: ou=Person, dc=test,dc=com
changetype: add
objectclass: top
objectclass: organizationalUnit
ou: Person
添加用户到Person组织示例
dn: uid=xx,ou=People,dc=test,dc=com
objectClass: person
objectClass: posixaccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
homeDirectory: /home/xx
loginShell: /bin/bash
uid: xx
cn: xx
userPassword: 123456
uidNumber: 10006
gidNumber: 10002
sn: xx
ldapadd -x -H ldap://你自己的域名或者ldap服务器IP -D “cn=Manager,dc=test,dc=com(这一段需要与你自己的配置相同)” -W -f xx.ldif

自定义schema

我们可能会想假设上面的属性不够用了怎么办,那么我们就需要自定义schema
下面给出一个例子
1 首先新建一个myschema.schema,填入一下内容
attributetype ( 1.3.6.1.4.1.7914.1.2.1.1
NAME ( ‘username’ )
DESC ‘RFC3280: legacy attribute for email addresses in DNs’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{128} )
objectclass ( 1.3.6.1.4.1.7914.1.2.2.1 NAME ‘myUser’
DESC ‘LDAP User’ SUP top STRUCTURAL
MUST ( username $ cn )
MAY (sn) )
定义了一个objectClass对象myUser。 MUST 必须填写的 username和cn
我们可能发现username的属性由attributetype填写,NAME 自定义属性名称
DESC 描述
SYNTAX是表示字段的数据类型。这个admin guide里面也有说明。 每个数据类型的值是固定的
SINGLE-value表示这个属性只有一个值,有些属性可以有多个值,比如联系地址等。默认的话,是多值的。
caseIgnoreIA5Match 忽略大小写
MAY可选
2 创建一个myconf.conf文件
填入以下内容
include /etc/openldap/schema/core.schema
include /etc/ldap/schema/myschema.schema 注意这是你自己的路劲
3 编译
slapcat -f /tmp/myconf.conf(你自己的myconf.conf的路径) -F /tmp/ -n0
然后到/tmp/cn=config/cn=schema这个文件下面你会发现两个ldif文件
1个是myschema{1}.ldif和core{0}.ldif。 然后将这些文件替换掉/etc/openldap/slapd.d/cn=config/cn=schema里面的core{1}.ldif。这里要注意大括号里面的数值,core的与core的要一样,myschema里面的大括号要与里面的文件的不能重复。你就依次命名一下。 然后重启服务
如果可以重启成功,最起码说明你写的没问题
4.创建ou ,上面说过ou需要是已经定义过的objectClass,vim 创建一个ldif文件将下面的内容复制。
dn: ou=myUser, dc=xx,dc=com
changetype: add
objectclass: top
objectclass: organizationalUnit
ou: myUser
然后执行
ldapadd -x -H ldap://xx.com -D “cn=Manager,dc=xx,dc=com” -W -f xx.ldif。
用ldap web界面工具查看你会发现自己已经成功定义了一个myUser。

IBM LDAP一些基础知识
04-01
"LDAP基础知识教程.pdf"则可能是一个更全面的教程,涵盖了以下主题: 1. LDAP协议基础:解释LDAP的请求/响应模型,操作类型(如bind、search、modify)及其语法。 2. LDAP目录模型:介绍Distinguished Name (DN)、...
LDAP基础知识整理
热门推荐
人生如棋
11-22 2万+
一、概述LDAP:Lightweight Directory Access Protocol  轻量级目录访问协议LDAP协议基于X.500标准, 与X.500不同,LDAP支持TCP/IP, 是跨平台的和标准的协议 二、基本概念在LDAP中信息以树状方式组织,在树状信息中的基本数据单元是条目,而每个条目由属性构成,属性中存储有属性值            O(zhangy
获取 LDAP 的 Base DN
tsh185的专栏
05-31 1万+
int main(int argc, char **argv) { LDAP *ld = NULL; char *host = "193.16.16.105" int result = 0; LDAPMessage *res = NULL; LDAPMessage *e = NULL; char **vals = NULL; ld = (LDAP *)ldap_in
0x08 在Debian12.0中部署LDAP目录访问【base:LDAP+Debian12+vSphere】
最新发布
明天可能早起吗的博客
09-05 739
没想到,我9月7号8号一直在尝试部署samba4 AD域,在Debian12上部署真的是要了我的命,debian太新了,各种依赖问题,各种启动不正常,直到现在,我Debian12都无法安装成功!一般开始都是DHCP获得的IP,正常情况NTP服务器IP地址是需要固定的,无论你用网络高级选项配置还是nmtui,你固定IP就行配置完成后,正常保存退出,通过“ip a”命令检查IP地址是否正确,通过ping www.baidu.com检查是否与外网通讯正常。安装完成后,你的ssh服务是默认打开的。
LDAP概念和原理
p656456564545的专栏
08-17 715
什么是目录服务?     目录服务就是按照树状存储信息的模式     目录服务的特点? 目录服务与关系型数据库不同?  目录服务的数据类型主要是字符型, 而不是关系数据库提供的整数、浮点数、日期、货币等类型 为了检索的需要添加了BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法(Syntax) 同样也不提供象关系数据库中普遍包含的大量
LDAP基础概念
weixin_33883178的博客
07-17 355
LDAP基础概念1.1、LDAP目录结构 此图为树形目录结构,我将此跳过去了,因为这个是按照“国家这种结构来划分的”。如果你喜欢这样看更好,如下还有一种:树也可以根据互联网域名组主。这种命名方式正越来越受欢迎,因为它允许使用DNS为目录服务定位 。这个LDAP目录树中使用基于域的命名。比较适合我的应用场景(从域名-->部门-->个人)。1.2、条目(Entr...
LDAP介绍和使用ACL示例
飞扬大哥哥的技术人生
03-17 1374
本教程向您演示了如何创建一个基于 LDAP 的后端来存储多个应用程序可以方便共享的联系人信息。同时,我们提供了 LDAP 基础知识的概述,并向您介绍了一个预先构建的联系人管理工具,该工具将帮助您着手使用这一开放技术。预备知识 读者应基本掌握一般管理任务方面的知识及其概念。包括诸如设置权限、管理用户账户、移动和复制文件、创建符号链接等任务。要执行本教程中的示例,您必需正确安装和配置 Linux 系统
LDAP基础教程:信息与安全模型详解
"LDAP基础知识.pdf 基础教程 配备图片" LDAP,即轻量级目录访问协议(Lightweight Directory Access Protocol),是一种用于访问和管理分布式目录服务的标准网络协议。本教程涵盖了LDAP基础知识,包括信息模型、...
LDAP基础入门:信息模型、命名与功能详解
"LDAP基础知识教程深入解析" 本资源是一份针对初学者的 LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)基础指南,由天津南开创元信息技术有限公司提供。目录涵盖了关键的五个章节,旨在帮助...
LDAP基础教程:信息与安全模型解析
"LDAP基础知识教程,由天津南开创元信息技术有限公司提供,涵盖了LDAP的信息模型、命名模型、功能模型和API使用、安全模型以及SCHEMA等内容,适合初学者自学。" LDAP(轻量级目录访问协议,Lightweight Directory ...
ldap基本dn_LDAP基本概念
weixin_34024811的博客
01-14 4333
1、LDAP的存储规则区分名(DN,Distinguished Name)和自然界中的树不同,文件系统/LDAP/电话号码簿目录的每一片枝叶都至少有一个独一无二的属性,这一属性可以帮助我们来区别这些枝叶。在文件系统中, 这些独一无二的属性就是带有完整路径的文件名。比如/etc/passwd,该文件名在该路径下是独一无二的。当然我们可以有/usr/passwd, /opt/passwd,但是根据它们...
LDAP
weixin_30648963的博客
09-09 108
packagecom.smnpc.util; importjava.util.Hashtable; importjava.util.Vector; importjavax.naming.Context; importjavax.naming.NamingEnumeration; importjavax.naming.NamingExce...
Cloudera Manager 配置 LDAP - 通过搜索绑定实现用户和组的映射
跟着大数据和AI去旅行
01-26 3931
直接绑定和搜索绑定 因为使用直接绑定方式,会导致集群无法被多个团队的多个角色混用。举个例子,我们有这样的场景: 用户 a1 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 a2 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 b1 属于组 B,组 B 对应 Sentry 中的 ops 角色; 用户 b2 属于组 B,组 B 对应 Sentry 中的 o
金仓数据库KingbaseES安全指南--6.5. LDAP身份验证
arthemis_14的博客
08-01 1679
金仓数据库KingbaseES安全指南--6.5. LDAP身份验证
LDAP 入门知识
Michael的专栏
05-06 1316
LDAP的基本概念LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,是一种基于 客户机/服务器模式的目录服务访问协议.其实是一话号码簿,LDAP是一种特殊的数据库。LDAP目录的优势LDAP协议是跨平台的和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。LDAP服务器可以用“推”或
LDAP教程 转
iteye_18684的博客
10-15 198
WINDOWS下搭建LDAP服务器 | RFC 855----Telnet选项说明书 2009 -07-07JNDI 连接Windows Active Directory 教程http://www.matrix.org.cn/resource/article/2007-03-05/JNDI+AD_ea943628-cab3-11db-b4f4-dd5a5e123c5c.html ...
LDAP基础
valetine的专栏
10-25 487
<br />一.LDAP的4中基本模型<br />       LDAP的体系结构由4中基本模型组成:信息模型描述LDAP的信息表达方式;命名模型描述LDAP的数据如何组织;功能模型描述LDAP的数据操作访问方式;安全模型描述LDAP的安全机制。<br /><br />       1.信息模型<br />       LDAP信息模型定义能够在目录中存储的数据类型和基本的信息单位。<br /><br />       2.命名模型<br />       LDAP中的命名模型,即LDAP中的条目定位方式。
2020-08-08 AD、ldap、NIS的基本知识
昨天今天下雨天的博客
08-09 4048
AD 是什么 AD就是Active Directory 是指 "Windows 2000" 网络中的目录服务。它有两个作用: 1、目录服务功能。 a: Active Directory提供了一系列集中组织 管理和访问网络资源的目录服务功能。 b: Active Directory被划分成区域进行管理,这使其可以存储大量的对象。基于这种结构,Active Directory可以随着企业的成长而进行扩...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值