一、什么是LDAP
定義:基于X.500標準的輕量級目錄訪問協議,目錄是一個為查詢、瀏覽和搜索而優化的數據庫,呈樹形結構
特點:讀性能優異,寫性能差,沒有事務處理、回滾等復雜功能,不適合存儲頻繁修改的數據
LDAP目錄服務器是由目錄數據庫和一套訪問協議組成的系統
優勢:開放的Internet標準,支持跨平臺的Internet協議,在業界得到廣泛認可,市場上很多產品已經加入了對LDAP的支持,大幅降低了重復開發和對接的成本
二、主要產品
| 廠商 | 產品 | 介紹 |
|---|---|---|
| SUN | SUNONE Directory Server | 基于文本數據庫的存儲,速度快 |
| IBM | IBM Directory Server | 基于DB2 的的數據庫,速度一般 |
| Novell | Novell Directory Server | 基于文本數據庫的存儲,速度快, 不常用到 |
| Microsoft | Microsoft Active Directory | 基于WINDOWS系統用戶,對大數據量處理速度一般,但維護容易,生態圈大,管理相對簡單 |
| Opensource | Opensource | OpenLDAP 開源的項目,速度很快,但是非主流應用 |
三、LDAP基本模型
1、目錄樹
- 目錄樹:在一個目錄服務系統中,整個目錄信息集可以表示為一個目錄信息樹,樹中的每個節點是一個條目。
-
- 條目:每個條目就是一條記錄,每個條目有自己的唯一可區別的名稱(DN)。
- 對象類:與某個實體類型對應的一組屬性,對象類是可以繼承的,這樣父類的必須屬性也會被繼承下來。
- 屬性:描述條目的某個方面的信息,一個屬性由一個屬性類型和一個或多個屬性值組成,屬性有必須屬性和非必須屬性
2、幾個關鍵字
關鍵字 英文全稱 含義 dc Domain Component 域名的部分,其格式是將完整的域名分成幾部分,如域名為example.com變成dc=example,dc=com(一條記錄的所屬位置) uid User Id 用戶ID songtao.xu(一條記錄的ID) ou Organization Unit 組織單位,組織單位可以包含其他各種對象(包括其他組織單元),如“oa組”(一條記錄的所屬組織) cn Common Name 公共名稱,如“Thomas Johansson”(一條記錄的名稱) sn Surname 姓,如“許” dn Distinguished Name “uid=songtao.xu,ou=oa組,dc=example,dc=com”,一條記錄的位置(唯一) rdn Relative dn 相對辨別名,類似于文件系統中的相對路徑,它是與目錄樹結構無關的部分,如“uid=tom”或“cn= Thomas Johansson” 3、基本模型
- 信息模型:在LDAP中信息以樹狀形式組織,基本數據單元是條目,條目由屬性構成,屬性中存儲屬性值
- 命名模型:也稱條目定位方式,在LDAP中每個條目均有自己的DN,DN是該條目在整個樹中的唯一名稱標識,文件系統中,帶路徑的文件名就是DN
- 功能模型:LDAP有4類10種操作,查詢類操作,如搜索、比較,更新類操作,如添加條目、刪除條目、修改條目、修改條目名,認證類操作,如綁定、解綁定,其它操作,如放棄和擴展操作。除了擴展操作,剩余均是LDAP的標準操作
- 安全模型:LDAP中的安全模型通過身份認證、安全通道和訪問控制來實現
4、使用方法
改變原有的認證策略,使需要認證的軟件均通過LDAP進行認證,認證后信息存儲在AD Server中,終端用戶在使用公司內部服務時,都需要通過AD服務器的認證 -
訪問流程:
- 連接到LDAP服務器
- 綁定到LDAP服務器
- 在LDAP服務器上執行所需的任何操作
- 釋放LDAP服務器的連接
微軟AD是目錄數據庫的實現方式,LDAP是為訪問Active Directory設計的協議,AD是LADP的一個應用實例
端口:389、636(ssl)
文章鏈接: http://m.qzkangyuan.com/9953.html
文章標題:認證協議LDAP
文章版權:夢飛科技所發布的內容,部分為原創文章,轉載請注明來源,網絡轉載文章如有侵權請聯系我們!
聲明:本站所有文章,如無特殊說明或標注,均為本站原創發布。任何個人或組織,在未征得本站同意時,禁止復制、盜用、采集、發布本站內容到任何網站、書籍等各類媒體平臺。如若本站內容侵犯了原著者的合法權益,可聯系我們進行處理。
