忆风 — Wed, 17 Sep 2008 05:44:00 GMT

如果你在计算��业工作，那么�?/span>LDAP可能早有耳闻了。想深入��C��?/span>LDAP吗？那么可以好好地读一下这��文章。这��介�l�性的文章是一�p�d��介绍如何在企业中设计、实现和集成LDAP环境的文章的头一��。主要是先让你熟悉一�?/span>LDAP的基本概念，那些比较困难的细节问题将攑ֈ�以后讨论。在�q�篇文章中我们将要介�l�：

什么是LDAP?

什么时候该用LDAP存储数据�Q?/strong>

LDAP目录树的�l�构

单独的LDAP记录

作�ؓ例子的一个单独的数据��?/strong>

LDAP复制

安全和访问控�?/strong>

现在LDAP技术不仅发展得很快而且也是�Ȁ动�h心的。在企业范围内实�?/span>LDAP可以让运行在几乎所有计��机�q�_��上的所有的应用�E�序�?/span>LDAP目录中获取信息�?/span>LDAP目录中可以存储各�U�类型的数据�Q�电子邮件地址、邮件�\�׃��息、�h力资源数据、公用密匙、联�p�M�h列表�Q�等�{�。通过�?/span>LDAP目录作�ؓ�pȝ��集成中的一个重要环节，可以��化员工在企业内部查询信息的步骤，甚至�q�主要的数据源都可以攑֜��M��地方。如�?/span>Oracle�?/span>Sybase�?/span>Informix�?/span>Microsoft SQL数据库中已经存储了类似的数据�Q�那�?/span>LDAP和这些数据库到底有什么不同呢�Q�是什么让它更具优势？��L��l�读下去吧！

什么是LDAP?

LDAP的英文全�U�是Lightweight Directory Access Protocol�Q�一般都��U�CؓLDAP。它是基�?/span>X.500标准的，但是��单多了�ƈ且可以根据需要定制。与X.500不同�Q?/span>LDAP支持TCP/IP�Q�这对访�?/span>Internet是必��ȝ��?/span>LDAP的核心规范在RFC中都有定义，所有与LDAP相关�?/span>RFC都可以在LDAPman RFC�|�页中找到�?/span>

怎么使用LDAP�q�个术语呢？

在日�怺�谈中�Q�你可能会听到有些�h�q�么��_��“我们要把那些东西存在LDAP中吗�Q?#8221;�Q�或�?#8220;�?/span>LDAP数据库中取出那些数据�Q?#8221;�Q�又或�?#8220;我们怎么�?/span>LDAP和关�p�d��数据库集成在一��P��”。严格地��_��LDAP�Ҏ��不是数据库而是用来讉K��存储在信息目录（也就�?/span>LDAP目录�Q�中的信息的协议。更为确切和正式的说法应该是象这��L��Q?#8220;通过使用LDAP�Q�可以在信息目录的正��位�|�读取（或存储）数据”。但是，也没有必要吹毛求疵，��管表达得不够准��，我们也都知道�Ҏ��在说什么�?/span>

LDAP目录是数据库吗？

��p��Sybase�?/span>Oracle�?/span>Informix�?/span>Microsoft的数据库��理�pȝ��Q?/span>DBMS�Q�是用于处理查询和更新关�p�d��数据库那��P��LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一�U�类�?/strong>的数据库�Q�但是不是关�p�d��数据库。不象被设计成每分钟需要处理成百上千条数据变化的数据库�Q�例如：在电子商务中�l�常用到的在�U�交易处理（OLTP�Q�系�l�，LDAP主要是优化数据读取的性能�?/span>

LDAP目录的优�?/span>

现在该说�?/span>LDAP目录到底有些什么优势了。现�?/span>LDAP的流行是很多因数共同作用的结果。我在这里说的不�q�是一些基本的原因�Q�请你注意一下这不过是一��部分原因�?/span>

可能LDAP最大的优势是：可以在�Q何计��机�q�_��上，用很�Ҏ��获得的而且数目不断增加�?/span>LDAP的客��L��E�序讉K��LDAP目录。而且也很�Ҏ��定制应用�E�序为它加上LDAP的支持�?/span>

LDAP协议是跨�q�_��的和标准的协议，因此应用�E�序��׃��用�ؓLDAP目录攑֜�什么样的服务器上操心了。实际上�Q?/span>LDAP得到了业界的�q�泛认可�Q�因为它�?/span>Internet的标准。��商都很愿意在产品中加入对LDAP的支持，因�ؓ他们�Ҏ��不用考虑另一端（客户端或服务端）是怎么��L��?/span>LDAP服务器可以是��M��一个开发源代码或商用的LDAP目录服务器（或者还可能是具�?/span>LDAP界面的关�p�d��数据库）�Q�因为可以用同样的协议、客��L��q�接软�g包和查询命��o�?/span>LDAP服务器进行交互。与LDAP不同的是�Q�如果��Y件��商想在��Y件��品中集成�?/span>DBMS的支持，那么通常都要�Ҏ��一个数据库服务器单独定制�?/span>

不象很多商用的关�p�d��数据库，你不必�ؓLDAP的每一个客��L��q�接或许可协议付贏V�?/span>

大多数的LDAP服务器安装�v来很��单，也容易维护和优化�?/span>

LDAP服务器可以用“�?#8221;�?#8220;�?#8221;的方法复刉��分或全部数据�Q�例如：可以把数�?#8220;�?#8221;到远�E�的办公室，以增加数据的安全性。复制技术是内置�?/span>LDAP服务器中的而且很容易配�|�。如果要�?/span>DBMS中��用相同的复制功能�Q�数据库产商��׃��要你支付额外的费用，而且也很隄��理�?/span>

LDAP允许你根据需要��?/span>ACI�Q�一般都�U�CؓACL或者访问控制列表）控制�Ҏ��据读和写的权限。例如，讑֤��理员可以有权改变员工的工作地点和办公室��L��Q�但是不允许改变记录中其它的域�?/span>ACI可以�Ҏ��谁访问数据、访问什么数据、数据存在什么地方以及其它对数据�q�行讉K��控制。因��些都是由LDAP目录服务器完成的�Q�所以不用担心在客户端的应用�E�序上是否要�q�行安全��查�?/span>

LDAP对于�q�样存储�q�样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新。例如，�q�些信息存储�?/span>LDAP目录中是十分有效的：

l        公司员工的电话号码簿和组�l�结构图

l        客户的联�p�M��?/span>

l        计算机管理需要的信息�Q�包�?/span>NIS映射�?/span>email假名�Q�等�{?/span>

l        软�g包的配置信息

l        公用证书和安全密�?/span>

什么时候该�?/span>LDAP存储数据�Q?/span>

大多数的LDAP服务器都��密集型的操作�q�行专门的优化。因此，当从LDAP服务器中��d��数据的时候会比从专门�?/span>OLTP优化的关�p�d��数据库中��d��数据快一个数量��。也是因��Z��门�ؓ�ȝ��性能�q�行优化�Q�大多数�?/span>LDAP目录服务器�ƈ不适合存储需要需要经常改变的数据。例如，�?/span>LDAP服务器来存储电话��L��是一个很好的选择�Q�但是它不能作�ؓ电子商务站点的数据库服务器�?/span>

如果下面每一个问题的�{�案都是“�?#8221;�Q�那么把数据存在LDAP中就是一个好��L��?/span>

l        需要在��M��q�_��上都能读取数据吗�Q?/span>

l        每一个单独的记录��Ҏ��不是每一天都只有很少的改变？

l        可以把数据存在��^面数据库�Q?/span>flat database�Q�而不是关�p�d��数据库中吗？换句话来��_��也就是不��什么范式不范式的，把所有东襉K��存在一个记录中�Q�差不多只要满��W�一范式�Q��?/span>

最后一个问题可能会唬住一些�h�Q�其实用�q�面数据库去存储一些关�p�d��的数据也是很一般的。例如，一条公司员工的记录��可以包含经理的��d��名。用LDAP来存储这�c�M��息是很方便的。一个简单的判断�Ҏ��Q�如果可以把保数据存在一张张的卡片里�Q�就可以很容易地把它存在LDAP目录里�?/span>

LDAP目录树的�l�构

LDAP目录以树状的层次�l�构来存储数据。如果你对自��向下的DNS树或UNIX文�g的目录树比较熟悉�Q�也��很�Ҏ��掌握LDAP目录树这个概念了。就�?/span>DNS的主机名那样�Q?/span>LDAP目录记录的标识名�Q?/span>Distinguished Name�Q�简�U?/span>DN�Q�是用来��d��单个记录�Q�以及回溯到树的�剙��。后面会做详�l�地介绍�?/span>

��Z��么要用层�ơ结构来�l�织数据呢？原因是多斚w��的。下面是可能遇到的一些情况：

l        如果你想把所有的��国客户的联�p�M��息都“�?#8221;��C��于到襉K��囑֊�公室�Q�负责营销�Q�的LDAP服务器上�Q�但是你不想把公司的资�񔽎�理信息“�?#8221;到那里�?/span>

l        你可能想�Ҏ��目录树的�l�构�l�予不同的员工组不同的权限。在下面的例子里�Q�资产管理组�?#8220;asset-mgmt”部分有完全的讉K��权限�Q�但是不能访问其它地斏V�?/span>

l        �?/span>LDAP存储和复制功能结合�v来，可以定制目录树的�l�构以降低对WAN带宽的要求。位于西雅图的营销办公室需要每分钟更新的美国销售状�늚�信息�Q�但是欧�z�的销售情况就只要每小时更��C��ơ就行了�?/span>

刨根问底�Q�基�?/span>DN

LDAP目录树的最�剙��是根，也就是所谓的“基准DN”。基�?/span>DN通常使用下面列出的三�U�格式之一。假定我在名�?/span>FooBar的电子商务公司工作，�q�家公司�?/span>Internet上的名字�?/span>foobar.com�?/span>

o="FooBar, Inc.", c=US

�Q�以X.500格式表示的基�?/span>DN�Q?/span>

在这个例子中�Q?/span>o=FooBar, Inc. 表示�l�织名，在这里就是公司名的同义词�?/span>c=US 表示公司的总部在美国。以前，一般都用这�U�方式来表示基准DN。但是事物��L��在不断变化的�Q�现在所有的公司都已�l�（或计划）�?/span>Internet上。随着Internet的全球化�Q�在基准DN中��用国家代码很�Ҏ��让�h产生��h��。现在，X.500格式发展成下面列出的两种格式�?/span>

o=foobar.com

�Q�用公司�?/span>Internet地址表示的基�?/span>DN�Q?/span>

�q�种格式很直观，用公司的域名作�ؓ基准DN。这也是现在最常用的格式�?/span>

dc=foobar, dc=com

�Q�用DNS域名的不同部分组成的基准DN�Q?/span>

��p��上面那一�U�格式，�q�种格式也是�?/span>DNS域名为基��的，但是上面那种格式不改变域名（也就更易读）�Q�而这�U�格式把域名�Q?/span>foobar.com分成两部�?/span> dc=foobar, dc=com�?/span>在理��Z��Q�这�U�格式可能会更灵�z�M��点，但是对于最�l�用��h��说也更难记忆一炏V��考虑一�?/span>foobar.com�q�个例子。当foobar.com�?/span>gizmo.com合�ƈ之后�Q�可以简单的�?#8220;dc=com”当作基准DN。把新的记录攑ֈ�已经存在�?/span>dc=gizmo, dc=com目录下，�q�样��q��化了很多工作�Q�当�Ӟ��如果foobar.com�?/span>wocket.edu合�ƈ�Q�这个方法就不能用了�Q�。如�?/span>LDAP服务器是新安装的�Q�我��你��用这�U�格式。再��h��意一下，如果你打��用活动目录（Actrive Directory�Q�，Microsoft已经限制你必��M��用这�U�格式�?/span>

更上一层楼�Q�在目录树中怎么�l�织数据

�?/span>UNIX文�g�pȝ��中，最��层是根目录�Q?/span>root�Q�。在根目录的下面有很多的文�g和目录。象上面介绍的那��P��LDAP目录也是用同��L��Ҏ��l�织��h��的�?/span>

在根目录下，要把数据从逻辑上区分开。因为历史上�Q?/span>X.500�Q�的原因�Q�大多数LDAP目录�?/span>OU从逻辑上把数据分开来�?/span>OU表示“Organization Unit”�Q�在X.500协议中是用来表示公司内部的机构：销售部、胦务部�Q�等�{�。现�?/span>LDAP�q�保�?/span>ou=�q�样的命名规则，但是扩展了分�cȝ��范围�Q�可以分�c�Mؓ�Q?/span>ou=people, ou=groups, ou=devices�Q�等�{�。更低一�U�的OU有时用来做更�l�的归类。例如：LDAP目录树（不包括单独的记录�Q�可能会是这��L��Q?/span>

    dc=foobar, dc=com

        ou=customers

            ou=asia

            ou=europe

            ou=usa

        ou=employees

        ou=rooms

        ou=groups

        ou=assets-mgmt

        ou=nisgroups

        ou=recipes

单独�?/span>LDAP记录

DN�?/span>LDAP记录��的名字

�?/span>LDAP目录中的所有记录项都有一个唯一�?#8220;Distinguished Name”�Q�也��是DN。每一�?/span>LDAP记录��的DN是由两个部分�l�成的：相对DN�Q?/span>RDN�Q�和记录�?/span>LDAP目录中的位置�?/span>

RDN�?/span>DN中与目录树的�l�构无关的部分。在LDAP目录中存储的记录��w��要有一个名字，�q�个名字通常存在cn�Q?/span>Common Name�Q�这个属性里。因为几乎所有的东西都有一个名字，�?/span>LDAP中存储的对象都用它们�?/span>cn��g��?/span>RDN的基��。如果我把最喜欢的吃燕麦�_�食谱存��Z��个记录，我就会用cn=Oatmeal Deluxe作�ؓ记录��的RDN�?/span>

l         我的LDAP目录的基�?/span>DN�?/span>dc=foobar,dc=com

l         我把自己的食�׃��?/span>LDAP的记录项存在ou=recipes

l        我的LDAP记录��的RDN设�ؓcn=Oatmeal Deluxe

上面�q�些构成了燕麦粥食谱�?/span>LDAP记录的完�?/span>DN。记住，DN的读法和DNS��L��名类伹{��下面就是完整的DN�Q?/span>

cn=Oatmeal Deluxe,ou=recipes,dc=foobar,dc=com

举一个实际的例子来说�?/span>DN

现在为公司的员工讄��一�?/span>DN。可以用��Z��cn�?/span>uid�Q?/span>User ID�Q�，作�ؓ典型的用户帐受��例如，FooBar的员�?/span>Fran Smith�Q�登录名�Q?/span>fsmith�Q�的DN可以��Z��面两�U�格式：

uid=fsmith,ou=employees,dc=foobar,dc=com

�Q�基于登录名�Q?/span>

LDAP�Q�以�?/span>X.500�Q�用uid表示“User ID”�Q�不要把它和UNIX�?/span>uid��h؜淆了。大多数公司都会�l�每一个员工唯一的登录名�Q�因此用�q�个办法可以很好��C��存员工的信息。你不用担心以后�q�会有一个叫Fran Smith的加入公司，如果Fran改变了她的名字（�l�婚�Q�离婚？或宗教原因？�Q�，也用不着改变LDAP记录��的DN�?/span>

cn=Fran Smith,ou=employees,dc=foobar,dc=com

�Q�基于姓名）

可以看到�q�种格式使用�?/span>Common Name�Q?/span>CN�Q�。可以把Common Name当成一个�h的全名。这�U�格式有一个很明显的缺点就是：如果名字改变了，LDAP的记录就要从一�?/span>DN转移到另一�?/span>DN。但是，我们应该��可能地避免改变一个记录项�?/span>DN�?/span>

定制目录的对象类�?/span>

你可以用LDAP存储各种�c�d��的数据对象，只要�q�些对象可以用属性来表示�Q�下面这些是可以�?/span>LDAP中存储的一些信息：

l        员工信息�Q�员工的姓名、登录名、口令、员工号、他的经理的��d��名，邮�g服务器，�{�等�?/span>

l        物品跟踪信息�Q�计��机名�?/span>IP地址、标�{�、型受��所在位�|�，�{�等�?/span>

l        客户联系列表�Q�客��L��公司名、主要联�p�M�h的电话、传真和电子邮�g�Q�等�{��?/span>

l        会议厅信息：会议厅的名字、位�|�、可以坐多少人、电话号码、是否有投媄机�?/span>

l        食谱信息�Q�菜的名字、配料、烹调方法以及准备方法�?/span>

因�ؓLDAP目录可以定制成存储�Q何文本或二进制数据，到底存什么要�׃��自己军_��?/span>LDAP目录用对象类型（object classes�Q�的概念来定义运行哪一�cȝ��对象使用什么属性。在几乎所有的LDAP服务器中�Q�你都要�Ҏ��自己的需要扩展基本的LDAP目录的功能，创徏新的对象�c�d��或者扩展现存的对象�c�d��?/span>

LDAP目录以一�p�d��“属性对”的�Ş式来存储记录��，每一个记录项包括属性类型和属性��|��q�与关系型数据库用行和列来存取数据有�Ҏ��的不同）。下面是我存�?/span>LDAP目录中的一部分食谱记录�Q?/span>

dn: cn=Oatmeal Deluxe, ou=recipes, dc=foobar, dc=com

cn: Instant Oatmeal Deluxe

recipeCuisine: breakfast

recipeIngredient: 1 packet instant oatmeal

recipeIngredient: 1 cup water

recipeIngredient: 1 pinch salt

recipeIngredient: 1 tsp brown sugar

recipeIngredient: 1/4 apple, any type

��h��意上面每一�U�配料都作�ؓ属�?/span>recipeIngredient倹{�?/span>LDAP目录被设计成象上面那样�ؓ一个属性保存多个值的�Q�而不是在每一个属性的后面用逗号把一�p�d��值分开�?/span>

因�ؓ用这��L��方式存储数据�Q�所以数据库��有很大的灵�z�L��，不必为加入一些新的数据就重新创徏表和索引。更重要的是�Q?/span>LDAP目录不必��p��内存或硬盘空间处�?#8220;�I?#8221;域，也就是说�Q�实际上不��用可选择的域也不会花费你��M��资源�?/span>

作�ؓ例子的一个单独的数据��?/span>

让我们看看下面这个例子。我们用Foobar, Inc.的员�?/span>Fran Smith�?/span>LDAP记录。这个记录项的格式是LDIF�Q�用来导入和导出LDAP目录的记录项�?/span>

dn: uid=fsmith, ou=employees, dc=foobar, dc=com

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

objectclass: foobarPerson

uid: fsmith

givenname: Fran

sn: Smith

cn: Fran Smith

  cn: Frances Smith

telephonenumber: 510-555-1234

roomnumber: 122G

o: Foobar, Inc.

mailRoutingAddress: fsmith@foobar.com

mailhost: mail.foobar.com

userpassword: {crypt}3x1231v76T89N

uidnumber: 1234

gidnumber: 1200

homedirectory: /home/fsmith

loginshell: /usr/local/bin/bash

属性的值在保存的时候是保留大小写的�Q�但是在默认情况下搜索的时候是不区分大��写的。某些特�D�的属性（例如�Q?/span>password�Q�在搜烦的时候需要区分大��写�?/span>

让我们一点一点地分析上面的记录项�?/span>

dn: uid=fsmith, ou=employees, dc=foobar, dc=com

�q�是Fran�?/span>LDAP记录��的完整DN�Q�包括在目录树中的完整�\径�?/span>LDAP�Q�和X.500�Q��?/span>uid�Q?/span>User ID�Q�，不要把它�?/span>UNIX�?/span>uid��h؜淆了�?/span>

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

objectclass: foobarPerson

可以��Z�Q何一个对象根据需要分配多个对象类型�?/span>person对象�c�d��要求cn�Q?/span>common name�Q�和sn�Q?/span>

忆风 2008-09-17 13:44 发表评论

美女国产精品久久久,可以直接在线观看的av,久久久久网址

什么是LDAP?

怎么使用LDAP�q�个术语呢？

LDAP目录是数据库吗？

LDAP目录的优�?/span>

什么时候该�?/span>LDAP存储数据�Q?/span>

LDAP目录树的�l�构

刨根问底�Q�基�?/span>DN

更上一层楼�Q�在目录树中怎么�l�织数据

单独�?/span>LDAP记录

DN�?/span>LDAP记录��的名字

举一个实际的例子来说�?/span>DN

定制目录的对象类�?/span>

作�ؓ例子的一个单独的数据��?/span>