陕西建设系统个人信息查询网站,公司产品推广方案,东营网站建设设计,小程序用什么开发文章目录 前言一、LDAP基础概念什么是LDAP#xff1f;什么是目录服务#xff1f;LDAP特点 二、LDAP基本模型目录树概念DC、UID、OU、CN、SN、DN、RDNLDAP四种基本模型 前言
对于公司中有多个IT系统#xff0c;每个系统都需要账号密码时#xff0c;工作起来就是很麻烦的问题… 文章目录 前言一、LDAP基础概念什么是LDAP什么是目录服务LDAP特点 二、LDAP基本模型目录树概念DC、UID、OU、CN、SN、DN、RDNLDAP四种基本模型 前言
对于公司中有多个IT系统每个系统都需要账号密码时工作起来就是很麻烦的问题。应用用户统一身份认证就可以很好的解决这个问题使用LDAP就是目前一个很好的处理办法。
一、LDAP基础概念
什么是LDAP
LDAPLight Directory Access Portocol 是基于TCP/IP协议的轻量目录访问协议是Internet上目录服务的通用访问协议。LDAP的出现简化了X.500目录的复杂度降低了开发成本是X.500标准的目录访问协议DAP的子集同时也作为IETF的一个正式标准。LDAP的核心规范在RFC中都有定义所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。与LDAP一样提供类似的目录服务软件还有ApacheDS、Active Directory、Red Hat Directory Service 。
什么是目录服务
从上文中可以看出LDAP其实是一种目录服务。那目录是什么呢目录服务又是什么呢
目录 是一个为查询、浏览和搜索而优化的专业分布式数据库它呈树状结构组织数据就好象Linux/Unix系统中的文件目录一样。可以用来保存描述性的、基于属性的详细信息支持过滤功能。目录数据库和关系数据库不同它有优异的读性能但写性能差并且没有事务处理、回滚等复杂功能不适于存储修改频繁的数据。目录通常只提供一些基本的数据更新操作而且更新通常都是指全量更新。目录服务 目录服务是由目录数据库和一套访问协议组成的系统。 是动态的灵活的易扩展的。类似以下的信息适合储存在目录中 企业员工信息如姓名、电话、邮箱等公用证书和安全密钥公司的物理设备信息如服务器它的IP地址、存放位置、厂商、购买时间等 LDAP特点
LDAP是开放的Internet标准支持跨平台的Internet协议在业界中得到广泛认可的并且市场上或者开源社区上的大多产品都加入了对LDAP的支持因此对于这类系统不需单独定制只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”可以大大降低重复开发和对接的成本。
LDAP的结构用树来表示而不是用表格。正因为这样就不能用SQL语句了LDAP可以很快地得到查询结果不过在写方面就慢得多LDAP提供了静态数据的快速查询方式 Client/server模型Server 用于存储数据Client提供操作目录信息树的工具这些工具可以将数据库的内容以文本格式LDAP 数据交换格式LDIF呈现在您的面前LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据LDAP允许你根据需要使用ACI一般都称为ACL或者访问控制列表控制对数据读和写的权限。
二、LDAP基本模型
每一个系统、协议都会有属于自己的模型LDAP也不例外在了解LDAP的基本模型之前我们需要先了解几个LDAP的目录树概念
目录树概念 目录树在一个目录服务系统中整个目录信息集可以表示为一个目录信息树树中的每个节点是一个条目。 条目Entry每个条目就是一条记录项每个条目有自己的唯一可区别的名称Distinguished Name DN。 dn每一个条目都有一个唯一的标识名distinguished Name DN通过DN的层次型语法结构可以方便地表示出条目在LDAP树中的位置通常用于检索。 在LDAP中每个条目均有自己的DN和RDN。DN是该条目在整个树中的唯一名称标识RDN是条目在父节点下的唯一名称标识如同文件系统中带路径的文件名就是DN文件名就是RDN 属性Attribute描述条目的某个方面的信息每个条目都可以有很多属性。一个属性由一个属性类型和一个或多个属性值组成属性有必须属性和非必须属性。对象类与某个实体类型对应的一组属性对象类是可以继承的这样父类的必须属性也会被继承下来。
DC、UID、OU、CN、SN、DN、RDN
关键字属性全称含义dnDistinguished Name“uidsongtao.xu,ouoa组,dcexample,dccom”一条记录的位置唯一rdnRelative dn相对辨别名类似于文件系统中的相对路径它是与目录树结构无关的部分如“uidtom”或“cn Thomas Johansson”dcDomain Component域名的部分其格式是将完整的域名分成几部分如域名为example.com变成dcexample,dccom一条记录的所属位置ouOrganization Unit组织单位组织单位可以包含其他各种对象包括其他组织单元如“oa组”一条记录的所属组织cnCommon Name公共名称如“Thomas Johansson”一条记录的名称uidUser Id用户ID songtao.xu一条记录的IDsnSurname姓如“许”
总结一下LDAP树形数据库如下
1. dn 一条记录的详细位置 dc 一条记录所属区域(哪一颗树)
2. ou 一条记录所属组织哪一个分支
3. cn/uid一条记录的名字/ID哪一个果实
4. LDAP目录树的最顶部就是根也就是所谓的“基准DN。LDAP四种基本模型
模型描述信息模型在LDAP中信息以树桩方式组织在树状信息中的基本数据单元是条目而每个条目由属性构成属性中存储有属性值命名模型定义了如何在目录系统中组织数据以及如何从目录系统中查找数据功能模型描述了LDAP 协议可以采用的相关操作四类10种查询类/更新类/认证类/放弃和扩展类来访问存储在目录树中的数据安全模型提供一个框架保护目录中的信息不被非法访问主要通过 身份认证、安全通道和访问控制来实现 信息模型主要包括三部分条目Entries属性Attributes和属性值Values。对于安全模型的三种实现方法 表现方法描述身份认证在LDAP中提供三种认证机制即匿名、基本认证和SASLSimple Authentication and Secure Layer认证。匿名认证即不对用户进行认证该方法仅对完全公开的方式适用基本认证均是通过用户名和密码进行身份识别又分为简单密码和摘要密码认证SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证包括数字证书的认证。通讯安全在LDAP中提供了基于SSL/TLS的通讯安全保障。SSL/TLS是基于PKI信息安全技术是目前Internet上广泛采用的安全服务。LDAP 通过StartTLS方式启动TLS服务可以提供通讯中的数据保密性、完整性保护通过强制客户端证书认证的TLS服务同时可以实现对客户端身份和服 务器端身份的双向验证。访问控制虽然LDAP目前并无访问控制的标准但从一些草案中或是事实上LDAP产品的访问控制情况我们不难看出LDAP访问控制异常的灵活和丰富在 LDAP中是基于访问控制策略语句来实现访问控制的这不同于现有的关系型数据库系统和应用系统它是通过基于访问控制列表来实现的无论是基于组模式或 角色模式都摆脱不了这种限制。
