LDAP 協(xié)議簡(jiǎn)介
LDAP (輕量級(jí)目錄訪問協(xié)議,Lightweight Directory Access Protocol) 是實(shí)現(xiàn)提供被稱為目錄服務(wù)的信息服務(wù)。目錄服務(wù)是一種特殊的數(shù)據(jù)庫系統(tǒng),其專門針對(duì)讀取,瀏覽和搜索操作進(jìn)行了特定的優(yōu)化,因此它不同于常見的關(guān)系型數(shù)據(jù)庫。目錄一般用來包含描述性的,基于屬性的信息并支持精細(xì)復(fù)雜的過濾能力。目錄一般不支持通用數(shù)據(jù)庫針對(duì)大量更新操作操作需要的復(fù)雜的事務(wù)管理或回卷策略。而目錄服務(wù)的更新則一般都非常簡(jiǎn)單。這種目錄可以存儲(chǔ)包括個(gè)人信息、web 鏈結(jié)、jpeg 圖像等各種信息。為了訪問存儲(chǔ)在目錄中的信息,就需要使用運(yùn)行在 TCP/IP 之上的訪問協(xié)議 —— LDAP。
LDAP 目錄中的信息是是按照樹型結(jié)構(gòu)組織,具體信息存儲(chǔ)在條目 (entry) 數(shù)據(jù)結(jié)構(gòu)中。條目相當(dāng)于關(guān)系數(shù)據(jù)庫中表的記錄;條目是具有區(qū)別名 DN (Distinguished Name)的屬性(Attribute),DN 是用來引用條目的,DN 相當(dāng)于關(guān)系數(shù)據(jù)庫表中的關(guān)鍵字(Primary Key)。屬性由類型(Type)和一個(gè)或多個(gè)值(Values)組成,相當(dāng)于關(guān)系數(shù)據(jù)庫中的字段(Field)由字段名和數(shù)據(jù)類型組成,只是為了方便檢索的需要,LDAP 中的 Type 可以有多個(gè) Value,而不是關(guān)系數(shù)據(jù)庫中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個(gè)域必須是不相關(guān)的。LDAP 中條目的組織通常按照地理位置和組織關(guān)系進(jìn)行組織,這樣會(huì)非常的直觀。
圖 1. LDAP 信息的樹型結(jié)構(gòu)存儲(chǔ)
如圖 1 所示,LDAP 的信息是以樹型結(jié)構(gòu)存儲(chǔ)的,在樹根一般定義國家 (c=CN) 或域名 (dc=com),在其下則往往定義一個(gè)或多個(gè)組織 (organization)(o=CSDL) 或組織單元 (organizational units) (ou=Regular)。一個(gè)組織單元可能包含諸如正式雇員、合同工類型雇員等信息。
此外,LDAP 支持對(duì)條目能夠和必須支持哪些屬性進(jìn)行控制,這是有一個(gè)特殊的稱為對(duì)象類別 (objectClass) 的屬性來實(shí)現(xiàn)的。該屬性的值決定了該條目必須遵循的一些規(guī)則,其規(guī)定了該條目能夠及至少應(yīng)該包含哪些屬性。例如: Person 對(duì)象類需要支持 sn(surname) 和 cn(common name) 屬性,但也可以包含可選的如郵件 (E-mail),電話號(hào)碼 (Phone) 等屬性。dc:一條記錄所屬區(qū)域;ou:一條記錄所屬組織;cn/uid:一條記錄的名字 /ID。