posts - 40,  comments - 187,  trackbacks - 0
          原文:http://ldapman.org/articles/intro_to_ldap.html
          原文作者:Michael Donnelly


          什么是LDAP?
            LDAP的英文全稱是Lightweight Directory Access Protocol,一般都簡稱為LDAP。它是基于X.500標(biāo)準(zhǔn)的,但是簡單多了并且可以根據(jù)需要定制。與X.500不同,LDAP支持TCP/IP,這對訪問Internet是必須的。LDAP的核心規(guī)范在RFC中都有定義,所有與LDAP相關(guān)的RFC都可以在LDAPman RFC網(wǎng)頁中找到。

          ?????????怎么使用LDAP這個術(shù)語呢?
            在日常交談中,你可能會聽到有些人這么說:"我們要把那些東西存在LDAP中嗎?",或者"從LDAP數(shù)據(jù)庫中取出那些數(shù)據(jù)!",又或者"我們怎么把LDAP和關(guān)系型數(shù)據(jù)庫集成在一起?"。嚴格地說,LDAP根本不是數(shù)據(jù)庫而是用來訪問存儲在信息目錄(也就是LDAP目錄)中的信息的協(xié)議。更為確切和正式的說法應(yīng)該是象這樣的:"通過使用LDAP,可以在信息目錄的正確位置讀取(或存儲)數(shù)據(jù)"。但是,也沒有必要吹毛求疵,盡管表達得不夠準(zhǔn)確,我們也都知道對方在說什么。

          ?????????LDAP目錄是數(shù)據(jù)庫嗎?
            就象Sybase、Oracle、Informix或Microsoft的數(shù)據(jù)庫管理系統(tǒng)(DBMS)是用于處理查詢和更新關(guān)系型數(shù)據(jù)庫那樣,LDAP服務(wù)器也是用來處理查詢和更新LDAP目錄的。換句話來說LDAP目錄也是一種類型的數(shù)據(jù)庫,但是不是關(guān)系型數(shù)據(jù)庫。不象被設(shè)計成每分鐘需要處理成百上千條數(shù)據(jù)變化的數(shù)據(jù)庫,例如:在電子商務(wù)中經(jīng)常用到的在線交易處理(OLTP)系統(tǒng),LDAP主要是優(yōu)化數(shù)據(jù)讀取的性能。

            LDAP目錄的優(yōu)勢
            現(xiàn)在該說說LDAP目錄到底有些什么優(yōu)勢了。現(xiàn)在LDAP的流行是很多因數(shù)共同作用的結(jié)果。我在這里說的不過是一些基本的原因,請你注意一下這不過是一小部分原因。
          可能LDAP最大的優(yōu)勢是:可以在任何計算機平臺上,用很容易獲得的而且數(shù)目不斷增加的LDAP的客戶端程序訪問LDAP目錄。而且也很容易定制應(yīng)用程序為它加上LDAP的支持。
          LDAP協(xié)議是跨平臺的和標(biāo)準(zhǔn)的協(xié)議,因此應(yīng)用程序就不用為LDAP目錄放在什么樣的服務(wù)器上操心了。實際上,LDAP得到了業(yè)界的廣泛認可,因為它是Internet的標(biāo)準(zhǔn)。產(chǎn)商都很愿意在產(chǎn)品中加入對LDAP的支持,因為他們根本不用考慮另一端(客戶端或服務(wù)端)是怎么樣的。LDAP服務(wù)器可以是任何一個開發(fā)源代碼或商用的LDAP目錄服務(wù)器(或者還可能是具有LDAP界面的關(guān)系型數(shù)據(jù)庫),因為可以用同樣的協(xié)議、客戶端連接軟件包和查詢命令與LDAP服務(wù)器進行交互。與LDAP不同的是,如果軟件產(chǎn)商想在軟件產(chǎn)品中集成對DBMS的支持,那么通常都要對每一個數(shù)據(jù)庫服務(wù)器單獨定制。
            不象很多商用的關(guān)系型數(shù)據(jù)庫,你不必為LDAP的每一個客戶端連接或許可協(xié)議付費。
            大多數(shù)的LDAP服務(wù)器安裝起來很簡單,也容易維護和優(yōu)化。
            LDAP服務(wù)器可以用"推"或"拉"的方法復(fù)制部分或全部數(shù)據(jù),例如:可以把數(shù)據(jù)"推"到遠程的辦公室,以增加數(shù)據(jù)的安全性。復(fù)制技術(shù)是內(nèi)置在LDAP服務(wù)器中的而且很容易配置。如果要在DBMS中使用相同的復(fù)制功能,數(shù)據(jù)庫產(chǎn)商就會要你支付額外的費用,而且也很難管理。
            LDAP允許你根據(jù)需要使用ACI(一般都稱為ACL或者訪問控制列表)控制對數(shù)據(jù)讀和寫的權(quán)限。例如,設(shè)備管理員可以有權(quán)改變員工的工作地點和辦公室號碼,但是不允許改變記錄中其它的域。ACI可以根據(jù)誰訪問數(shù)據(jù)、訪問什么數(shù)據(jù)、數(shù)據(jù)存在什么地方以及其它對數(shù)據(jù)進行訪問控制。因為這些都是由LDAP目錄服務(wù)器完成的,所以不用擔(dān)心在客戶端的應(yīng)用程序上是否要進行安全檢查。
            LDAP對于這樣存儲這樣的信息最為有用,也就是數(shù)據(jù)需要從不同的地點讀取,但是不需要經(jīng)常更新。例如,這些信息存儲在LDAP目錄中是十分有效的:
            l 公司員工的電話號碼簿和組織結(jié)構(gòu)圖
            l 客戶的聯(lián)系信息
            l 計算機管理需要的信息,包括NIS映射、email假名,等等
            l 軟件包的配置信息
            l 公用證書和安全密匙

          什么時候該用LDAP存儲數(shù)據(jù)?
            大多數(shù)的LDAP服務(wù)器都為讀密集型的操作進行專門的優(yōu)化。因此,當(dāng)從LDAP服務(wù)器中讀取數(shù)據(jù)的時候會比從專門為OLTP優(yōu)化的關(guān)系型數(shù)據(jù)庫中讀取數(shù)據(jù)快一個數(shù)量級。也是因為專門為讀的性能進行優(yōu)化,大多數(shù)的LDAP目錄服務(wù)器并不適合存儲需要需要經(jīng)常改變的數(shù)據(jù)。例如,用LDAP服務(wù)器來存儲電話號碼是一個很好的選擇,但是它不能作為電子商務(wù)站點的數(shù)據(jù)庫服務(wù)器。
            如果下面每一個問題的答案都是"是",那么把數(shù)據(jù)存在LDAP中就是一個好主意。
            l 需要在任何平臺上都能讀取數(shù)據(jù)嗎?
            l 每一個單獨的記錄項是不是每一天都只有很少的改變?
            l 可以把數(shù)據(jù)存在平面數(shù)據(jù)庫(flat database)而不是關(guān)系型數(shù)據(jù)庫中嗎?換句話來說,也就是不管什么范式不范式的,把所有東西都存在一個記錄中(差不多只要滿足第一范式)。
            最后一個問題可能會唬住一些人,其實用平面數(shù)據(jù)庫去存儲一些關(guān)系型的數(shù)據(jù)也是很一般的。例如,一條公司員工的記錄就可以包含經(jīng)理的登錄名。用LDAP來存儲這類信息是很方便的。一個簡單的判斷方法:如果可以把保數(shù)據(jù)存在一張張的卡片里,就可以很容易地把它存在LDAP目錄里。

          LDAP目錄樹的結(jié)構(gòu)
            LDAP目錄以樹狀的層次結(jié)構(gòu)來存儲數(shù)據(jù)。如果你對自頂向下的DNS樹或UNIX文件的目錄樹比較熟悉,也就很容易掌握LDAP目錄樹這個概念了。就象DNS的主機名那樣,LDAP目錄記錄的標(biāo)識名(Distinguished Name,簡稱DN)是用來讀取單個記錄,以及回溯到樹的頂部。后面會做詳細地介紹。
          為什么要用層次結(jié)構(gòu)來組織數(shù)據(jù)呢?原因是多方面的。下面是可能遇到的一些情況:
            l 如果你想把所有的美國客戶的聯(lián)系信息都"推"到位于到西雅圖辦公室(負責(zé)營銷)的LDAP服務(wù)器上,但是你不想把公司的資產(chǎn)管理信息"推"到那里。
            l 你可能想根據(jù)目錄樹的結(jié)構(gòu)給予不同的員工組不同的權(quán)限。在下面的例子里,資產(chǎn)管理組對"asset-mgmt"部分有完全的訪問權(quán)限,但是不能訪問其它地方。
            l 把LDAP存儲和復(fù)制功能結(jié)合起來,可以定制目錄樹的結(jié)構(gòu)以降低對WAN帶寬的要求。位于西雅圖的營銷辦公室需要每分鐘更新的美國銷售狀況的信息,但是歐洲的銷售情況就只要每小時更新一次就行了。
            刨根問底:基準(zhǔn)DN
            LDAP目錄樹的最頂部就是根,也就是所謂的"基準(zhǔn)DN"。基準(zhǔn)DN通常使用下面列出的三種格式之一。假定我在名為FooBar的電子商務(wù)公司工作,這家公司在Internet上的名字是foobar.com。
          o="FooBar, Inc.", c=US
            (以X.500格式表示的基準(zhǔn)DN)
            在這個例子中,o=FooBar, Inc. 表示組織名,在這里就是公司名的同義詞。c=US 表示公司的總部在美國。以前,一般都用這種方式來表示基準(zhǔn)DN。但是事物總是在不斷變化的,現(xiàn)在所有的公司都已經(jīng)(或計劃)上Internet上。隨著Internet的全球化,在基準(zhǔn)DN中使用國家代碼很容易讓人產(chǎn)生混淆。現(xiàn)在,X.500格式發(fā)展成下面列出的兩種格式。
            o=foobar.com
            (用公司的Internet地址表示的基準(zhǔn)DN)
          這種格式很直觀,用公司的域名作為基準(zhǔn)DN。這也是現(xiàn)在最常用的格式。
            dc=foobar, dc=com
            (用DNS域名的不同部分組成的基準(zhǔn)DN)
            就象上面那一種格式,這種格式也是以DNS域名為基礎(chǔ)的,但是上面那種格式不改變域名(也就更易讀),而這種格式把域名:foobar.com分成兩部分 dc=foobar, dc=com。在理論上,這種格式可能會更靈活一點,但是對于最終用戶來說也更難記憶一點。考慮一下foobar.com這個例子。當(dāng)foobar.com和  gizmo.com合并之后,可以簡單的把"dc=com"當(dāng)作基準(zhǔn)DN。把新的記錄放到已經(jīng)存在的dc=gizmo, dc=com目錄下,這樣就簡化了很多工作(當(dāng)然,如果foobar.com和wocket.edu合并,這個方法就不能用了)。如果LDAP服務(wù)器是新安裝的,我建議你使用這種格式。再請注意一下,如果你打算使用活動目錄(Actrive Directory),Microsoft已經(jīng)限制你必須使用這種格式。
          更上一層樓:在目錄樹中怎么組織數(shù)據(jù)
            在UNIX文件系統(tǒng)中,最頂層是根目錄(root)。在根目錄的下面有很多的文件和目錄。象上面介紹的那樣,LDAP目錄也是用同樣的方法組織起來的。
            在根目錄下,要把數(shù)據(jù)從邏輯上區(qū)分開。因為歷史上(X.500)的原因,大多數(shù)LDAP目錄用OU從邏輯上把數(shù)據(jù)分開來。OU表示"Organization Unit",在X.500協(xié)議中是用來表示公司內(nèi)部的機構(gòu):銷售部、財務(wù)部,等等。現(xiàn)在LDAP還保留ou=這樣的命名規(guī)則,但是擴展了分類的范圍,可以分類為:ou=people, ou=groups, ou=devices,等等。更低一級的OU有時用來做更細的歸類。例如:LDAP目錄樹(不包括單獨的記錄)可能會是這樣的:
            dc=foobar, dc=com
            ou=customers
            ou=asia
            ou=europe
            ou=usa
            ou=employees
            ou=rooms
            ou=groups
            ou=assets-mgmt
            ou=nisgroups
            ou=recipes

          單獨的LDAP記錄
            DN是LDAP記錄項的名字
            在LDAP目錄中的所有記錄項都有一個唯一的"Distinguished Name",也就是DN。每一個LDAP記錄項的DN是由兩個部分組成的:相對DN(RDN)和記錄在LDAP目錄中的位置。
            RDN是DN中與目錄樹的結(jié)構(gòu)無關(guān)的部分。在LDAP目錄中存儲的記錄項都要有一個名字,這個名字通常存在cn(Common Name)這個屬性里。因為幾乎所有的東西都有一個名字,在LDAP中存儲的對象都用它們的cn值作為RDN的基礎(chǔ)。如果我把最喜歡的吃燕麥粥食譜存為一個記錄,我就會用cn=Oatmeal Deluxe作為記錄項的RDN。
            l 我的LDAP目錄的基準(zhǔn)DN是dc=foobar,dc=com
            l 我把自己的食譜作為LDAP的記錄項存在ou=recipes
            l 我的LDAP記錄項的RDN設(shè)為cn=Oatmeal Deluxe
            上面這些構(gòu)成了燕麥粥食譜的LDAP記錄的完整DN。記住,DN的讀法和DNS主機名類似。下面就是完整的DN:
            cn=Oatmeal Deluxe,ou=recipes,dc=foobar,dc=com
            舉一個實際的例子來說明DN
            現(xiàn)在為公司的員工設(shè)置一個DN。可以用基于cn或uid(User ID),作為典型的用戶帳號。例如,F(xiàn)ooBar的員工Fran Smith(登錄名:fsmith)的DN可以為下面兩種格式:
            uid=fsmith,ou=employees,dc=foobar,dc=com
            (基于登錄名)
            LDAP(以及X.500)用uid表示"User ID",不要把它和UNIX的uid號混淆了。大多數(shù)公司都會給每一個員工唯一的登錄名,因此用這個辦法可以很好地保存員工的信息。你不用擔(dān)心以后還會有一個叫Fran Smith的加入公司,如果Fran改變了她的名字(結(jié)婚?離婚?或宗教原因?),也用不著改變LDAP記錄項的DN。
            cn=Fran Smith,ou=employees,dc=foobar,dc=com
            (基于姓名)
            可以看到這種格式使用了Common Name(CN)。可以把Common Name當(dāng)成一個人的全名。這種格式有一個很明顯的缺點就是:如果名字改變了,LDAP的記錄就要從一個DN轉(zhuǎn)移到另一個DN。但是,我們應(yīng)該盡可能地避免改變一個記錄項的DN。

          定制目錄的對象類型
            你可以用LDAP存儲各種類型的數(shù)據(jù)對象,只要這些對象可以用屬性來表示,下面這些是可以在LDAP中存儲的一些信息:
            l 員工信息:員工的姓名、登錄名、口令、員工號、他的經(jīng)理的登錄名,郵件服務(wù)器,等等。
            l 物品跟蹤信息:計算機名、IP地址、標(biāo)簽、型號、所在位置,等等。
            l 客戶聯(lián)系列表:客戶的公司名、主要聯(lián)系人的電話、傳真和電子郵件,等等。
            l 會議廳信息:會議廳的名字、位置、可以坐多少人、電話號碼、是否有投影機。
            l 食譜信息:菜的名字、配料、烹調(diào)方法以及準(zhǔn)備方法。
          因為LDAP目錄可以定制成存儲任何文本或二進制數(shù)據(jù),到底存什么要由你自己決定。LDAP目錄用對象類型(object classes)的概念來定義運行哪一類的對象使用什么屬性。在幾乎所有的LDAP服務(wù)器中,你都要根據(jù)自己的需要擴展基本的LDAP目錄的功能,創(chuàng)建新的對象類型或者擴展現(xiàn)存的對象類型。
          LDAP目錄以一系列"屬性對"的形式來存儲記錄項,每一個記錄項包括屬性類型和屬性值(這與關(guān)系型數(shù)據(jù)庫用行和列來存取數(shù)據(jù)有根本的不同)。下面是我存在LDAP目錄中的一部分食譜記錄:
            dn: cn=Oatmeal Deluxe, ou=recipes, dc=foobar, dc=com
            cn: Instant Oatmeal Deluxe
            recipeCuisine: breakfast
            recipeIngredient: 1 packet instant oatmeal
            recipeIngredient: 1 cup water
            recipeIngredient: 1 pinch salt
            recipeIngredient: 1 tsp brown sugar
            recipeIngredient: 1/4 apple, any type
            請注意上面每一種配料都作為屬性recipeIngredient值。LDAP目錄被設(shè)計成象上面那樣為一個屬性保存多個值的,而不是在每一個屬性的后面用逗號把一系列值分開。
          因為用這樣的方式存儲數(shù)據(jù),所以數(shù)據(jù)庫就有很大的靈活性,不必為加入一些新的數(shù)據(jù)就重新創(chuàng)建表和索引。更重要的是,LDAP目錄不必花費內(nèi)存或硬盤空間處理"空"域,也就是說,實際上不使用可選擇的域也不會花費你任何資源。

          作為例子的一個單獨的數(shù)據(jù)項
            讓我們看看下面這個例子。我們用Foobar, Inc.的員工Fran Smith的LDAP記錄。這個記錄項的格式是LDIF,用來導(dǎo)入和導(dǎo)出LDAP目錄的記錄項。
            dn: uid=fsmith, ou=employees, dc=foobar, dc=com
            objectclass: person
            objectclass: organizationalPerson
            objectclass: inetOrgPerson
            objectclass: foobarPerson
            uid: fsmith
            givenname: Fran
            sn: Smith
            cn: Fran Smith
            cn: Frances Smith
            telephonenumber: 510-555-1234
            roomnumber: 122G
            o: Foobar, Inc.
            mailRoutingAddress: fsmith@foobar.com
            mailhost: mail.foobar.com
            userpassword: {crypt}3x1231v76T89N
            uidnumber: 1234
            gidnumber: 1200
            homedirectory: /home/fsmith
            loginshell: /usr/local/bin/bash
            屬性的值在保存的時候是保留大小寫的,但是在默認情況下搜索的時候是不區(qū)分大小寫的。某些特殊的屬性(例如,password)在搜索的時候需要區(qū)分大小寫。
          讓我們一點一點地分析上面的記錄項。
            dn: uid=fsmith, ou=employees, dc=foobar, dc=com
            這是Fran的LDAP記錄項的完整DN,包括在目錄樹中的完整路徑。LDAP(和X.500)使用uid(User ID),不要把它和UNIX的uid號混淆了。
            objectclass: person
            objectclass: organizationalPerson
            objectclass: inetOrgPerson
            objectclass: foobarPerson
            可以為任何一個對象根據(jù)需要分配多個對象類型。person對象類型要求cn(common name)和sn(surname)這兩個域不能為空。persion對象類型允許有其它的可選域,包括givenname、telephonenumber,等等。organizational Person給person加入更多的可選域,inetOrgPerson又加入更多的可選域(包括電子郵件信息)。最后,foobarPerson是為Foobar定制的對象類型,加入了很多定制的屬性。
            uid: fsmith
            givenname: Fran
            sn: Smith
            cn: Fran Smith
            cn: Frances Smith
            telephonenumber: 510-555-1234
            roomnumber: 122G
            o: Foobar, Inc.
            以前說過了,uid表示User ID。當(dāng)看到uid的時候,就在腦袋里想一想"login"。
          請注意CN有多個值。就象上面介紹的,LDAP允許某些屬性有多個值。為什么允許有多個值呢?假定你在用公司的LDAP服務(wù)器查找Fran的電話號碼。你可能只知道她的名字叫Fran,但是對人力資源處的人來說她的正式名字叫做Frances。因為保存了她的兩個名字,所以用任何一個名字檢索都可以找到Fran的電話號碼、電子郵件和辦公房間號,等等。
            mailRoutingAddress: fsmith@foobar.com
            mailhost: mail.foobar.com
            就象現(xiàn)在大多數(shù)的公司都上網(wǎng)了,F(xiàn)oobar用Sendmail發(fā)送郵件和處理外部郵件路由信息。Foobar把所有用戶的郵件信息都存在LDAP中。最新版本的Sendmail支持這項功能。
            Userpassword: {crypt}3x1231v76T89N
            uidnumber: 1234
            gidnumber: 1200
            gecos: Frances Smith
            homedirectory: /home/fsmith
            loginshell: /usr/local/bin/bash
            注意,F(xiàn)oobar的系統(tǒng)管理員把所有用戶的口令映射信息也都存在LDAP中。FoobarPerson類型的對象具有這種能力。再注意一下,用戶口令是用UNIX的口令加密格式存儲的。UNIX的uid在這里為uidnumber。提醒你一下,關(guān)于如何在LDAP中保存NIS信息,有完整的一份RFC。在以后的文章中我會談一談NIS的集成。

          LDAP復(fù)制
            LDAP服務(wù)器可以使用基于"推"或者"拉"的技術(shù),用簡單或基于安全證書的安全驗證,復(fù)制一部分或者所有的數(shù)據(jù)。
          例如,F(xiàn)oobar有一個"公用的"LDAP服務(wù)器,地址為ldap.foobar.com,端口為389。Netscape Communicator的電子郵件查詢功能、UNIX的"ph"命令要用到這個服務(wù)器,用戶也可以在任何地方查詢這個服務(wù)器上的員工和客戶聯(lián)系信息。公司的主LDAP服務(wù)器運行在相同的計算機上,不過端口號是1389。
          你可能即不想讓員工查詢資產(chǎn)管理或食譜的信息,又不想讓信息技術(shù)人員看到整個公司的LDAP目錄。為了解決這個問題,F(xiàn)oobar有選擇地把子目錄樹從主LDAP服務(wù)器復(fù)制到"公用"LDAP服務(wù)器上,不復(fù)制需要隱藏的信息。為了保持數(shù)據(jù)始終是最新的,主目錄服務(wù)器被設(shè)置成即時"推"同步。這些種方法主要是為了方便,而不是安全,因為如果有權(quán)限的用戶想查詢所有的數(shù)據(jù),可以用另一個LDAP端口。
          假定Foobar通過從奧克蘭到歐洲的低帶寬數(shù)據(jù)的連接用LDAP管理客戶聯(lián)系信息。可以建立從       ldap.foobar.com:1389到munich-ldap.foobar.com:389的數(shù)據(jù)復(fù)制,象下面這樣:
            periodic pull: ou=asia,ou=customers,o=sendmail.com
            periodic pull: ou=us,ou=customers,o=sendmail.com
            immediate push: ou=europe,ou=customers,o=sendmail.com
            "拉"連接每15分鐘同步一次,在上面假定的情況下足夠了?quot;推"連接保證任何歐洲的聯(lián)系信息發(fā)生了變化就立即被"推"到Munich。
          用上面的復(fù)制模式,用戶為了訪問數(shù)據(jù)需要連接到哪一臺服務(wù)器呢?在Munich的用戶可以簡單地連接到本地服務(wù)器。如果他們改變了數(shù)據(jù),本地的LDAP服務(wù)器就會把這些變化傳到主LDAP服務(wù)器。然后,主LDAP服務(wù)器把這些變化"推"回本地的"公用"LDAP服務(wù)器保持數(shù)據(jù)的同步。這對本地的用戶有很大的好處,因為所有的查詢(大多數(shù)是讀)都在本地的服務(wù)器上進行,速度非常快。當(dāng)需要改變信息的時候,最終用戶不需要重新配置客戶端的軟件,因為LDAP目錄服務(wù)器為他們完成了所有的數(shù)據(jù)交換工作。

          安全和訪問控制
            LDAP提供很復(fù)雜的不同層次的訪問控制或者ACI。因這些訪問可以在服務(wù)器端控制,這比用客戶端的軟件保證數(shù)據(jù)的安全可安全多了。
            用LDAP的ACI,可以完成:
            l 給予用戶改變他們自己的電話號碼和家庭地址的權(quán)限,但是限制他們對其它數(shù)據(jù)(如,職務(wù)名稱,經(jīng)理的登錄名,等等)只有"只讀"權(quán)限。
            l 給予"HR-admins"組中的所有人權(quán)限以改變下面這些用戶的信息:經(jīng)理、工作名稱、員工號、部門名稱和部門號。但是對其它域沒有寫權(quán)限。
            l 禁止任何人查詢LDAP服務(wù)器上的用戶口令,但是可以允許用戶改變他或她自己的口令。
            l 給予經(jīng)理訪問他們上級的家庭電話的只讀權(quán)限,但是禁止其他人有這個權(quán)限。
            l 給予"host-admins"組中的任何人創(chuàng)建、刪除和編輯所有保存在LDAP服務(wù)器中的與計算機主機有關(guān)的信息
            l 通過Web,允許"foobar-sales"組中的成員有選擇地給予或禁止他們自己讀取一部分客戶聯(lián)系數(shù)據(jù)的讀權(quán)限。這將允許他們把客戶聯(lián)系信息下載到本地的筆記本電腦或個人數(shù)字助理(PDA)上。(如果銷售人員的軟件都支持LDAP,這將非常有用)
            l 通過Web,允許組的所有者刪除或添加他們擁有的組的成員。例如:可以允許銷售經(jīng)理給予或禁止銷售人員改變Web頁的權(quán)限。也可以允許郵件假名(mail aliase)的所有者不經(jīng)過IT技術(shù)人員就直接從郵件假名中刪除或添加用戶。"公用"的郵件列表應(yīng)該允許用戶從郵件假名中添加或刪除自己(但是只能是自己)。也可以對IP地址或主機名加以限制。例如,某些域只允許用戶IP地址以192.168.200.*開頭的有讀的權(quán)限,或者用戶反向查找DNS得到的主機名必須為*.foobar.com。
            這不過是讓你了解一下可以對LDAP目錄進行怎樣的訪問控制,實際上真正實現(xiàn)起來需要做的工作比這多得多。在以后的文章中我會詳細地討論訪問控制。


          posted on 2007-03-19 15:24 小立飛刀 閱讀(3465) 評論(4)  編輯  收藏 所屬分類: LDAP

          FeedBack:
          # re: LDAP介紹
          2007-10-24 10:27 | 冰兒

            回復(fù)  更多評論
            
          # re: LDAP介紹
          2011-05-24 13:39 | e
          ding  回復(fù)  更多評論
            
          # re: LDAP介紹[未登錄]
          2012-07-29 10:07 | simon
          不錯  回復(fù)  更多評論
            

          只有注冊用戶登錄后才能發(fā)表評論。


          網(wǎng)站導(dǎo)航:
           
          <2007年3月>
          25262728123
          45678910
          11121314151617
          18192021222324
          25262728293031
          1234567

          生存或毀滅,這是個必答之問題:是否應(yīng)默默的忍受坎苛命運之無情打擊,還是應(yīng)與深如大海之無涯苦難奮然為敵,并將其克服。此二抉擇,究竟是哪個較崇高?

          常用鏈接

          留言簿(12)

          隨筆分類(43)

          相冊

          收藏夾(7)

          朋友的博客

          電子資料

          搜索

          •  

          積分與排名

          • 積分 - 302714
          • 排名 - 192

          最新評論

          閱讀排行榜

          評論排行榜

          主站蜘蛛池模板: 南丰县| 湘潭县| 土默特左旗| 泰宁县| 西安市| 三台县| 朝阳市| 海晏县| 故城县| 嘉义县| 兴安县| 淳化县| 龙州县| 舒兰市| 德昌县| 饶阳县| 玉龙| 江孜县| 五华县| 如皋市| 札达县| 沽源县| 抚州市| 北流市| 丹巴县| 崇信县| 高尔夫| 获嘉县| 石城县| 桐柏县| 韶山市| 始兴县| 张家界市| 弥勒县| 祁阳县| 苍南县| 偏关县| 三原县| 泗水县| 昆山市| 安西县|