LDAP的基本概念
LDAP是轻量目录访问协议(Lightweight Directory Access
Protocol)的缩写,是一种基于 客户机/服务器模式的目录服务访问协议.其实是一话号码簿,LDAP是一种特殊的数据库。
LDAP
目录的优势
LDAP协议是跨平台的和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。
LDAP服务器可以用
“推”或“拉”的方法复制部分或全部数据,例如:可以把数据“推”到远程的办公室,以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配
置。
LDAP同步配置:
# Where to store the replica logs for database #1
#replogfile
/var/lib/ldap/master-slapd.replog
replogfile
/var/lib/ldap/master-slapd.replog
replica
host=192.168.7.108:389
binddn="cn=admin,dc=ldap,dc=monkey,dc=com,dc=de"
bindmethod=simple credentials='password'
LDAP
允许你根据需要使用ACI(一般都称为ACL或者访问控制列表)控制对数据读和写的权
限。例如,设备管理员可以有权改变员工的工作地点和办公室号码,但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地
方以及其它对数据进 行访问控制。因为这些都是由LDAP目录服务器完成的,所以不用担心在客户端的应用程序上是否要进行安全检查。
什么
时候该用LDAP存储数据?
LDAP对于存储下面这样的信息最为有用,也就是数据需要从不同的地点读取,但是不需要经常更新。例如,这些信息存储
在LDAP目录中是十分有效的:
* 公司员工的电话号码簿和组织结构图
* 客户的联系信息
*
计算机管理需要的信息,包括NIS映射、email假名,等等
* 软件包的配置信息
* 公用证书和安全密匙
ldap
的存储规则
Information model 描述LDAP目录结构
ldap目录结构图如下
ldap
目录的根 dc=ldap,dc=monkey,dc=com,dc=de (基准DN)
/ /
ou users groups
// / /
ou user1 user2 it other
// / /
user admin bird goog qqq
LDAP
目录树的最顶部就是根,也就是所谓的“基准DN”。
基准DN通常使用下面列出的三种格式之一
1)以X.500格式表示的基准DN
:o="monkey.com", c=de
2)用公司的Internet地址表示的基准DN:o=monkey.com.de
3)用
DNS域名的不同部分组成的基准DN,这也是现在最常用的格式:dc=monkey,dc=com,dc=de
在根目录下,要把数据从逻
辑上区分开。大多数LDAP目录用OU从逻辑上把数据分开来。OU表示 “Organization
Unit”,在X.500协议中是用来表示公司内部的机构:销售部、财务部,
等等。现在LDAP还保留ou=这样的命名规则,但是扩展了分类的范围,可以分类为:ou=people, ou=groups,
ou=devices,等等。更低一级的OU有时用来做更细的归类。例如:LDAP目 录树(不包括单个条目)可能会是这样的:
dc=ldap,dc=monkey,
dc=com,dc=de
ou=groups
ou=it
ou=purchase
ou=administration
ou=customer
ou=usa
ou=asia
ou=japan
ou=vendor
ou=usa
ou=asia
ou=japan
一个单条LDAP记录就是一个条目,即目录条目.目录条目的组成如下:
dn:
uid=goog,ou=Users,dc=ldap,dc=monkey,dc=com,dc=de (条目名)
objectClass:
top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass:
shadowAccount
objectClass: sambaSamAccount
cn: goog
sn: goog
uid:
goog
uidNumber: 1027
gidNumber: 513
homeDirectory: /home/goog
loginShell:
/bin/nologin
gecos: System User
description: System User
sambaSID:
S-1-5-21-2655127250-259968048-1391940258-3054
sambaPrimaryGroupSID:
S-1-5-21-2655127250-259968048-1391940258-513
displayName: System User
sambaPwdMustChange:
2147483647
sambaPasswordHistory:
00000000000000000000000000000000000000000000000000000000
00000000
sambaAcctFlags:
[U ]
sambaLMPassword: 44EFCE164AB921CAAAD3B435B51404EE
sambaNTPassword:
32ED87BDB5FDC5E9CBA88547376818D4
sambaPwdCanChange: 1178523372
sambaPwdLastSet:
1178523372
userPassword::
e1NNRDV9Q3dOM3BEaStHcnVvMUMrUTEzZm1BU1BDRVl3PQ==
每个条目都有一个条目名,
即DN(Distinguished Name)
条目是具有区别名DN(Distinguished
Name)的属性(Attribute)集合,
属性由类型(Type)和多个值(Values)组成,类型规定了属性允许存放的值的约束条件,同
时也规定了该类型的数据进行比较时规则,LDAP中是用语法(syntax)这一概念来表式属性的取值约束和比较规则的。常用的LDAP
Syntax是字符型,为了检索的需要添加了BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法
(Syntax),
而不是关系数据库提供的整数、浮点数、日期、货币等类型,同样也不提供象关系数据库中普遍包含的大量的函数,它主要面向数据的查询服务(查询和修改操作比
一般是大于10:1),
在属性的基础上LDAP还用schema进一步约束目录条目。schema是一种类型定义机制,每种类型定义又成
为objectClass,它规定一个该类型的目录条目实例必须的和可选的属性等其它
约束。和面向对象的编程语言相似,objectClass支持继承,并且所有的objectClass都是
top的子类型,因为top定义了必须的属性objectClass,所以所有的目录条目实例都有objectClass这个属性。常见的
objectClass有:
InetOrgPerson, OrganizationalUnit, Organization
extensibleObject
允许任何属性。
Example:
objectclass ( 1.3.6.1.4.1.42.2.27.4.2.10
NAME 'corbaContainer'
DESC 'Container for a CORBA object'
SUP top
STRUCTURAL
MUST cn )
对象类有五个组
件:OID(对象标识)、唯一名称、父对象(SUP)、任何需要的属性(MUST)和允许的属性列表(MAY)。OID 是由 LDAP
目录的内部数据库机制使用的数据标识符。 从概念上讲,它们与 IP 地址相似,因为每个对象类都必须有一个唯一数字。并且象 DNS 和 IP
之间的关系那样,由创建它们的个人进行注册,并由这些人“拥有”。有关注册 OID 的更多信息,请参阅 Internet Assigned
Numbers Authority(或 IANA)。
LDAP中条目的组织一般按照地理位置和组织关系进行组织,非常的直观。
LDAP把数据存放在文件中,为提高效率可以使用基于索引的文件数据库,而不是关系数据库
专用名词解释:
DN=Distinguished
Name 一个目录条目的名字
CN=Common Name 为用户名或服务器名,最长可以到80个字符,可以为中文;
OU=Organization
Unit为组织单元,最多可以有四级,每级最长32个字符,可以为中文;
O=Organization 为组织名,可以3—64个字符长
C=Country
为国家名,可选,为2个字符长
L=Location 地名,通常是城市的名称
ST 州或省的名称
O=Orgnization
组织名称
OU=Orgnizagion Unit 组织单位
STREET 街道地址
UID 用户标识
LDAP
客户端和LDAP服务器端交互的一般过程
1.
LDAP客户端发起连接请求与LDAP服务器建立会话,LDAP的术语是绑定(binding)。在
建立绑定时客户端通常需要指定访问用户,以便能够访问服务器上的目录信息。
2.
LDAP客户端发出目录查询、新建、更新、删除、移动目录条目、比较目录条目等操作 3.
LDAP客户端结束与服务器的会话,即解除绑定(unbinding)
LDAP的操作基本上有三类:查询、更新和认证
查询是
LDAP中最复杂的操作,它允许客户端指定查询的起点、查询的深度、属性需要满足的条件以及最终返回的目录条目所包含的属性。
查询的起点是通过
base DN来指定的,查询的深度即范围有三种baseObject, singleLevel,
wholeSubtree。baseObject只对base DN指定的目录条目进行查询;singleLevel只对base
DN的直接子节点进行查询; wholeSubtree对base DN(包括base DN)的所有子节点查询。属性需要满足的条件是用search
filter来表达的。此外,还可以指定别名的解析(Aliase Dereferrencing)和查询的结果集大小限定和查询时间限定。
search
filter的基本语法是:
attribute operator value
主要的操作符有:=, >=, <=,
=*, ~=其中=*可以表示匹配子字符串,~=近似相等。例子有sn=*表示sn有值的所有目录条目。cn=J*Smi*, sn~=smit。
多
个简单filter可以用关系操作符组成复合表达式,基本语法是:
(&(filter1)(filter2)...(filtern))
(|(filter1)(filter2)...(filtern))
(!(filter))
例
子有:(|(sn=Miler)(sn=Smith)), (|(sn=Miler)(&(ou=Austin)(sn=Smith)))
更
新操作
LDAP定义了以下更新操作:
add 创建新的目录条目到目录树种
delete
删除目录条目,只有叶子节点可以删除,删除别名并不影响被引用的节点
modify 修改目录条目的属性,包括增加、删除属性
modify
DN 移动目录树
认证操作
LDAP定义了以下认证操作:
bind 该操作用于在LDAP的客户端和服务器之间建立会话
unbind
该操作用于结束LDAP会话
abandon 该操作用于放弃前一个操作
LDAP权限管理
可以
通过ACL(访问控制表,Access Control List)来控制对目录的访问。
access to
attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange
by dn="cn=admin,ou=DSA,dc=ldap,dc=monkey,dc=com,dc=de" write
by dn="cn=smbldap-tools,ou=DSA,dc=ldap,dc=monkey,dc=com,dc=de" write
by dn="cn=nssldap,ou=DSA,dc=ldap,dc=monkey,dc=com,dc=de" write
by self write
by anonymous auth (need to bind)
by
* none (no access)
LDAP+APACHE
如果让ldap 支持apache,你需要做:
1)
在编译apache 时,加上以下参数:--with-ldap --enable-ldap --enable-auth-ldap
2)配置
apache ,在httpd.conf里加上如下配置:
<Directory "/www">
Options ExecCGI
AllowOverride None
Order allow,deny
Allow from all
###### ldap config
AuthType Basic
AuthLDAPEnabled
on
AuthName "Secure Access"
AuthLDAPBindDN
cn=admin,dc=ldap,dc=monkey,dc=com,dc=de
AuthLDAPBindPassword xxxxxx
AuthLDAPURL
ldap://192.168.7.108:389/ou=Users,dc=ldap,dc=monkey,dc=com,dc=de?uid?sub?(objectClass=*)
require
valid-user
</Directory>
LDAP+PHP
如果让ldap
支持php,你需要做:
1)在编译php时,加上以下参数:--with-ldap=/usr/local/ldap
扫一扫
5651
07-28
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
