[zt]ldap介绍

Alex — Thu, 30 Nov 2006 12:45:00 GMT

LDAPChina序言�Q?/font>�q�篇文章是互联网上最��行的一��介�l�LDAP基础知识的文章，本文作�?a class="a04" href="mailto:donnelly@ldapman.org">Michael Donnelly�?a class="a04" >LDAPMAN.org的站�ѝ��由于本文译文较长，我们��其分�ؓ两部分，�W�一部分介绍LDAP概论�Q�第二部分介�l�LDAP基础知识。感谢网�?a class="a04" href="mailto:brimmer@linuxaid.com.cn">Brimmer��译此文�?

�? 果你在计��机行业工作�Q�那么对LDAP可能早有耳闻了。想深入��C��解LDAP吗？那么可以好好地读一下这��文章。这��介�l�性的文章是一�p�d��介绍如何在企�? 中设计、实现和集成LDAP环境的文章的头一��。主要是先让你熟悉一下LDAP的基本概念，那些比较困难的细节问题将攑ֈ�以后讨论。在�q�篇文章中我们将�? 介绍�Q?/p>

什么是LDAP?
什么时候该用LDAP存储数据�Q?/a>

�? 在LDAP技术不仅发展得很快而且也是�Ȁ动�h心的。在企业范围内实现LDAP可以让运行在几乎所有计��机�q�_��上的所有的应用�E�序从LDAP目录中获取信息。LDAP目录中可以存储各�U�类型的数据�Q�电子邮件地址、邮件�\�׃��息、�h力资源数据、公用密匙、联�p�M�h列表�Q�等�{�。通过把LDAP目录作�ؓ�pȝ��集成�? 的一个重要环节，可以��化员工在企业内部查询信息的步骤，甚至�q�主要的数据源都可以攑֜��M��地方。如果Oracle、Sybase、Informix�? Microsoft SQL数据库中已经存储了类似的数据�Q�那么LDAP和这些数据库到底有什么不同呢�Q�是什么让它更具优势？��L��l�读下去吧！

什么是LDAP?

LDAP 的英文全�U�是Lightweight Directory Access Protocol�Q�一般都��U�CؓLDAP。它是基于X.500标准的，但是��单多了�ƈ且可以根据需要定制。与X.500不同�Q�LDAP支持TCP/IP�Q? �q�对讉K��Internet是必��ȝ��。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPChina.com RFC专栏中找到�?/p>

怎么使用LDAP�q�个术语呢？

�? 日常交谈中，你可能会听到有些��么说�Q�“我们要把那些东西存在LDAP中吗�Q�”，或者“从LDAP数据库中取出那些数据�Q�”，又或者“我们怎么�? LDAP和关�p�d��数据库集成在一��P��”。严格地��_��LDAP�Ҏ��不是数据库而是用来讉K��存储在信息目录（也就是LDAP目录�Q�中的信息的协议。更为确切和正式的说法应该是象这��L��Q�“通过使用LDAP�Q�可以在信息目录的正��位�|�读取（或存储）数据”。但是，也没有必要吹毛求疵，��管表达得不够准��，我们也都知道�Ҏ��在说什么�?/p>

LDAP目录是数据库吗？

��? 象Sybase、Oracle、Informix或Microsoft的数据库��理�pȝ��Q�DBMS�Q�是用于处理查询和更新关�p�d��数据库那��P��LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一�U�类型的数据库，但是不是关系型数据库。不象被设计成每分钟需要处理成百上千条�? 据变化的数据库，例如�Q�在电子商务中经常用到的在线交易处理�Q�OLTP�Q�系�l�，LDAP主要是优化数据读取的性能�?/p>

LDAP目录的优�?/font>

现在该说说LDAP目录到底有些什么优势了。现在LDAP的流行是很多因素共同作用的结果。我在这里说的不�q�是一些基本的原因�Q�请你注意一下这不过是一��部分原因�?/p>

可能LDAP最大的优势是：可以在�Q何计��机�q�_��上，用很�Ҏ��获得的而且数目不断增加的LDAP的客��L��E�序讉K��LDAP目录。而且也很�Ҏ��定制应用�E�序为它加上LDAP的支持�?/p>

LDAP 协议是跨�q�_��的和标准的协议，因此应用�E�序��׃��用�ؓLDAP目录攑֜�什么样的服务器上操心了。实际上�Q�LDAP得到了业界的�q�泛认可�Q�因为它�? Internet的标准。��商都很愿意在产品中加入对LDAP的支持，因�ؓ他们�Ҏ��不用考虑另一端（客户端或服务端）是怎么��L��。LDAP服务器可以是�? 何一个开发源代码或商用的LDAP目录服务器（或者还可能是具有LDAP界面的关�p�d��数据库）�Q�因为可以用同样的协议、客��L��q�接软�g包和查询命��o�? LDAP服务器进行交互。与LDAP不同的是�Q�如果��Y件��商想在��Y件��品中集成对DBMS的支持，那么通常都要�Ҏ��一个数据库服务器单独定制�?/p>

不象很多商用的关�p�d��数据库，你不必�ؓLDAP的每一个客��L��q�接或许可协议付贏V�?/p>

大多数的LDAP服务器安装�v来很��单，也容易维护和优化�?/p>

LDAP服务器可以用“推”或“拉”的�Ҏ��复制部分或全部数据，例如�Q�可以把数据“推”到�q�程的办公室�Q�以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配�|�。如果要在DBMS中��用相同的复制功能�Q�数据库产商��׃��要你支付额外的费用，而且也很隄��理�?/p>

LDAP 允许你根据需要��用ACI�Q�一般都�U�CؓACL或者访问控制列表）控制�Ҏ��据读和写的权限。例如，讑֤��理员可以有权改变员工的工作地点和办公室��L��Q�但�? 不允许改变记录中其它的域。ACI可以�Ҏ��谁访问数据、访问什么数据、数据存在什么地方以及其它对数据�q�行讉K��控制。因��些都是由LDAP目录服务器完成的�Q�所以不用担心在客户端的应用�E�序上是否要�q�行安全��查�?/p>

LDAP对于存储下面�q�样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新。例如，�q�些信息存储在LDAP目录中是十分有效的：

公司员工的电话号码簿和组�l�结构图
客户的联�p�M��?/li>
计算机管理需要的信息�Q�包括NIS映射、email假名�Q�等�{?/li>
软�g包的配置信息
公用证书和安全密�?/li>

什么时候该用LDAP存储数据�Q?/font>

�? 多数的LDAP服务器都��密集型的操作�q�行专门的优化。因此，当从LDAP服务器中��d��数据的时候会比从专门为OLTP优化的关�p�d��数据库中��d��数据�? 一个数量��。也是因��Z��门�ؓ�ȝ��性能�q�行优化�Q�大多数的LDAP目录服务器�ƈ不适合存储需要经常改变的数据。例如，用LDAP服务器来存储电话��L��是一�? 很好的选择�Q�但是它不能作�ؓ电子商务站点的数据库服务器�?/p>

如果下面每一个问题的�{�案都是“是”，那么把数据存在LDAP中就是一个好��L��?/p>

需要在��M��q�_��上都能读取数据吗�Q?/li>
每一个单独的记录��Ҏ��不是每一天都只有很少的改变？
可以把数据保存在�q�面数据库（flat database�Q�而不是关�p�d��数据库中吗？换句话来��_��也就是不��什么范式不范式的，把所有东襉K��存在一个记录中�Q�差不多只要满��W�一范式�Q��?/li>

最后一个问题可能会唬住一些�h�Q�其实用�q�面数据库去存储一些关�p�d��的数据也是很一般的。例如，一条公司员工的记录��可以包含经理的��d��名。用LDAP来存�? �q�类信息是很方便的。一个简单的判断�Ҏ��Q�如果可以把数据保存在一张张的卡片里�Q�就可以很容易地把它存在LDAP目录里�?/p>

接上�?/p>

LDAP目录树的�l�构
 单条LDAP记录
 定制目录的对象类
 一个LDAP单个条目的例�?/a>
LDAP复制
 安全和访问控�?/a>

LDAP目录树的�l�构

LDAP 目录以树状的层次�l�构来存储数据。如果你对自��向下的DNS树或UNIX文�g的目录树比较熟悉�Q�也��很�Ҏ��掌握LDAP目录树这个概念了。就象DNS的主机名那样�Q�LDAP目录记录的分辨名�Q�Distinguished Name�Q�简�U�DN�Q�是用来��d��单条记录�Q�以及回溯到树的�剙��。后面会做详�l�地介绍�?/p>

��Z��么要用层�ơ结构来�l�织数据呢？原因是多斚w��的。下面是可能遇到的一些情况：

如果你想把所有的��国客户的联�p�M��息都“推”到位于到西雅图办公室（负责营销�Q�的LDAP服务器上�Q?但是你不��x��公司的资产管理信息“推”到那里�?/li>
你可能想�Ҏ��目录树的�l�构�l�予不同的员工组不同的权限。在下面的例子里�Q�资产管理组对“asset-mgmt”部分有完全的访问权限，但是不能讉K��其它地方�?/li>
把LDAP存储和复制功能结合�v来，可以定制目录树的�l�构以降低对WAN带宽的要求。位于西雅图的营销办公室需要每分钟更新的美国销售状�늚�信息�Q�但是欧�z�的销售情况就只要每小时更��C��ơ就行了�?/li>

刨根问底�Q�基准DN

LDAP目录树的最�剙��是根，也就是所谓的“基准DN”。基准DN通常使用下面列出的三�U�格式之一。假定我在名为FooBar的电子商务公司工作，�q�家公司在Internet上的名字是foobar.com�?/p>

o="FooBar, Inc.", c=US

�Q�以X.500格式表示的基准DN�Q?/i>

�? �q�个例子中，o=FooBar, Inc. 表示�l�织名，在这里就是公司名的同义词。c=US 表示公司的总部在美国。以前，一般都用这�U�方式来表示基准DN。但是事物��L��在不断变化的�Q�现在所有的公司都已�l�（或计划）上Internet上。随着 Internet的全球化�Q�在基准DN中��用国家代码很�Ҏ��让�h产生��h��。现在，X.500格式发展成下面列出的两种格式�?/p>

o=foobar.com

�Q�用公司的Internet地址表示的基准DN�Q?/i>

�q�种格式很直观，用公司的域名作�ؓ基准DN。这也是现在最常用的格式�?/p>

dc=foobar, dc=com

�Q�用DNS域名的不同部分组成的基准DN�Q?/i>

��? 象上面那一�U�格式，�q�种格式也是以DNS域名为基��的，但是上面那种格式不改变域名（也就更易读）�Q�而这�U�格式把域名�Q�foobar.com分成两部�? dc=foobar, dc=com。在理论上，�q�种格式可能会更灉|��一点，但是对于最�l�用��h��说也更难记忆一炏V��考虑一下foobar.com�q�个例子。当 foobar.com和gizmo.com合�ƈ之后�Q�可以简单的把“dc=com”当作基准DN。把新的记录攑ֈ�已经存在的dc=gizmo, dc=com目录下，�q�样��q��化了很多工作�Q�当�Ӟ��如果foobar.com和wocket.edu合�ƈ�Q�这个方法就不能用了�Q�。如果LDAP服务器是�? 安装的，我徏议你使用�q�种格式。再��h��意一下，如果你打��用活动目录（Actrive Directory�Q�，Microsoft已经限制你必��M��用这�U�格式�?/p>

更上一层楼�Q�在目录树中怎么�l�织数据

在UNIX文�g�pȝ��中，最��层是根目录�Q�root�Q�。在根目录的下面有很多的文�g和目录。象上面介绍的那��P��LDAP目录也是�?

Alex 2006-11-30 20:45 发表评论

在线中文字幕视频,超碰在线电影,在线免费91