LDAP基础
整理总结下最新学习LDAP,比较适合初步了解LDAP,主要讲下基本概念,安装部署。大神请绕道。
基础
定义
LDAP的英文全称是Lightweight Directory AccessProtocol [**轻量目录访问协议**],它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方。
目录是一个为查询、浏览和搜索而优化的数据库,它成**树状结构组织数据**,类似文件目录一样。目录数据库和关系数据库不同,它有**优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据**,所以目录天生是**用来查询**。LDAP目录服务是由**目录数据库和一套访问协议组成的系统**。
LDAP在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”,可以大大降低重复开发和对接的成本。
特点
基于 TCP/IP。
以树状结构存储数据。
读取速度快,写入速度慢。
服务器用于存放数据,客户端用于操作数据。
跨平台、维护简单。
支持 SSL/TLS 加密。
协议是开放的。
模型
信息模型:规定了 LDAP 目录信息的表示方式以及数据的存储结构。
命名模型:规定了 LDAP 目录中数据如何进行组织和区分。
功能模型:规定了可以对 LDAP 目录进行的操作(如查询、更新、认证等)。
安全模型:规定了保护 LDAP 目录中的数据的安全措施。
产品
window服务器AD。
AD就是基于LDAP协议一套解决方案(LDAP服务+应用),解决细粒度权限控制。还有其他产品。
基本概念
| 关键字 | 英文全称 | 含义 |
|---|---|---|
| dc | Domain Component | 域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
| uid | User Id | 用户ID songtao.xu(一条记录的ID) |
| ou | Organization Unit | 组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
| cn | Common Name | 公共名称,如“Thomas Johansson”(一条记录的名称) |
| sn | Surname | 姓,如“许” |
| dn | Distinguished Name | “uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
| rdn | Relative dn | 相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” |
| Object Classes | Object Classes | 每个项中包含若干object class,类似mysql的建表语句。如person objectclass 中规定必须要有cn,sn属性存在 |
关系
其他人举一个栗子容易理解之间关系:
假设你要树上的一个苹果(一条记录),你怎么告诉园丁它的位置呢?当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou),最后就是这个苹果的名字(uid,相当于MySQL表主键id)。好了!这时我们可以清晰的指明这个苹果的位置了,就是那棵“歪脖树”的东边那个分叉上的靠西边那个分叉的再靠北边的分叉上的半红半绿的……树(dc=ljheee) 分叉(ou=bei,ou=xi,ou=dong) 苹果(cn=redApple) 具体地址:dn:cn=redApple,ou=bei,ou=xi,ou=dong,dc=ljheee 总结一下LDAP树形数据库如下: dn :一条记录的详细位置 dc :一条记录所属区域 (哪一颗树) ou :一条记录所属组织 (哪一个分支) cn/uid:一条记录的名字/ID (哪一个苹果名字)
安装
安装 LDAP服务
参考安装:OpenLdap使用手册 – Ldap中文网
安装 Apache Directory Studio
apache directory studio 是LDAP图形展示工具。
安装后打开:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mFEtdPEB-1678954310143)(D:\笔记\image\2023-01-31-08-57-50-image.png)]
配置完成即可访问:
配置完成即可访问:
网上其他截图
下载地址:https://directory.apache.org/studio/downloads.html
旧版本下载地址:Index of /dist/directory/studio/2.0.0.v20200411-M15
注:
Apache Directory Studio 是基于Eclipse开发,所以其JDK版本兼性依赖Eclipse 最新版本要求是java11以上,java8下载使用M15版本Apache Directory Studio Version 2.0.0-M16
基于 Eclipse 2020-12,最低要求 Java 11Apache Directory Studio Version 2.0.0-M15
基于 Eclipse 2020-03,最低要求 Java 8Apache Directory Studio Version 2.0.0-M13
基于 Eclipse Neon.3,最低要求 Java 8
参考
OpenLdap使用手册 – Ldap中文网
https://zhuanlan.zhihu.com/p/32732045https://zhuanlan.zhihu.com/p/32732045
LDAP入门 - 简书
LDAP概念和原理介绍 - WilburXu - 博客园
https://zhuanlan.zhihu.com/p/147768058
LDAP概念和原理介绍 - WilburXu - 博客园
https://zhuanlan.zhihu.com/p/147768058