2020-08-08 AD、ldap、NIS的基本知识

AD 是什么

AD就是Active Directory 是指 "Windows 2000" 网络中的目录服务。它有两个作用：
1、目录服务功能。
a: Active Directory提供了一系列集中组织 管理和访问网络资源的目录服务功能。
b: Active Directory被划分成区域进行管理，这使其可以存储大量的对象。基于这种结构，Active Directory可以随着企业的成长而进行扩展。从仅拥有一台存储几百个对象的服务器的小型企业，扩展为拥有上千台存储数百万个对象的服务器的大型企业。
2、集中式管理。
a: Active Directory还可以集中管理对网络资源的访问，并允许用户只登陆一次就能访问在Active Directory上的所有资源。
b: Active Directory存储关于网络上对象的信息并使这些信息可以用于用户和网络管理员的目录服务。
c: Active Directory 允许网络用户通过单个登录过程访问网络上任意位置允许访问的资源。它给网络管理员提供了直观的网络层次结构视图和对所有网络对象的单点管理。
d: 更重要的是，该技术还可以用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提自下针对相关资源实施访问调用。

AD域是微软的，linux下有ldap。
LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。

LDAP 是什么

1. 目录服务

目录是一个为查询、浏览和搜索而优化的专业分布式数据库，它呈树状结构组织数据，就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录天生是用来查询的，就好象它的名字一样。

目录服务是由目录数据库和一套访问协议组成的系统。类似以下的信息适合储存在目录中：

• 企业员工信息，如姓名、电话、邮箱等；
• 公用证书和安全密钥；
• 公司的物理设备信息，如服务器，它的IP地址、存放位置、厂商、购买时间等；

LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写，LDAP是从X.500目录访问协议的基础上发展过来的，目前的版本是v3.0。与LDAP一样提供类似的目录服务软件还有ApacheDS、Active Directory、Red Hat Directory Service 。

2. LDAP特点

• LDAP的结构用树来表示，而不是用表格。正因为这样，就不能用SQL语句了
• LDAP可以很快地得到查询结果，不过在写方面，就慢得多
• LDAP提供了静态数据的快速查询方式
• Client/server模型，Server 用于存储数据，Client提供操作目录信息树的工具
• 这些工具可以将数据库的内容以文本格式（LDAP 数据交换格式，LDIF）呈现在您的面前
• LDAP是一种开放Internet标准，LDAP协议是跨平台的Interent协议

3. LDAP组织数据的方式

ldap_intro_dctree

4. 基本概念

在浏览LDAP相关文档时经常会遇见一些概念，下面是常见概念的简单解释。

4.1 Entry

条目，也叫记录项，是LDAP中最基本的颗粒，就像字典中的词条，或者是数据库中的记录。通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的。

dn：每一个条目都有一个唯一的标识名（distinguished Name ，DN），如上图中一个 dn：”cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org” 。通过DN的层次型语法结构，可以方便地表示出条目在LDAP树中的位置，通常用于检索。

rdn：一般指dn逗号最左边的部分，如cn=baby。它与RootDN不同，RootDN通常与RootPW同时出现，特指管理LDAP中信息的最高权限用户。

Base DN：LDAP目录树的最顶部就是根，也就是所谓的“Base DN”，如”dc=mydomain,dc=org”。

4.2 Attribute

每个条目都可以有很多属性（Attribute），比如常见的人都有姓名、地址、电话等属性。每个属性都有名称及对应的值，属性值可以有单个、多个，比如你有多个邮箱。

属性不是随便定义的，需要符合一定的规则，而这个规则可以通过schema制定。比如，如果一个entry没有包含在 inetorgperson 这个 schema 中的objectClass: inetOrgPerson，那么就不能为它指定employeeNumber属性，因为employeeNumber是在inetOrgPerson中定义的。

LDAP为人员组织机构中常见的对象都设计了属性(比如commonName，surname)。下面有一些常用的别名：

属性	别名	语法	描述	值(举例)
commonName	cn	Directory String	姓名	sean
surname	sn	Directory String	姓	Chow
organizationalUnitName	ou	Directory String	单位（部门）名称	IT_SECTION
organization	o	Directory String	组织（公司）名称	example
telephoneNumber		Telephone Number	电话号码	110
objectClass			内置属性	organizationalPerson

4.3 ObjectClass

对象类是属性的集合，LDAP预想了很多人员组织机构中常见的对象，并将其封装成对象类。比如人员（person）含有姓（sn）、名（cn）、电话(telephoneNumber)、密码(userPassword)等属性，单位职工(organizationalPerson)是人员(person)的继承类，除了上述属性之外还含有职务（title）、邮政编码（postalCode）、通信地址(postalAddress)等属性。

通过对象类可以方便的定义条目类型。每个条目可以直接继承多个对象类，这样就继承了各种属性。如果2个对象类中有相同的属性，则条目继承后只会保留1个属性。对象类同时也规定了哪些属性是基本信息，必须含有(Must 活Required，必要属性)：哪些属性是扩展信息，可以含有（May或Optional，可选属性）。

对象类有三种类型：结构类型（Structural）、抽象类型(Abstract)和辅助类型（Auxiliary）。结构类型是最基本的类型，它规定了对象实体的基本属性，每个条目属于且仅属于一个结构型对象类。抽象类型可以是结构类型或其他抽象类型父类，它将对象属性中共性的部分组织在一起，称为其他类的模板，条目不能直接集成抽象型对象类。辅助类型规定了对象实体的扩展属性。每个条目至少有一个结构性对象类。

对象类本身是可以相互继承的，所以对象类的根类是top抽象型对象类。以常用的人员类型为例，他们的继承关系：

openldap_objectclass

下面是inetOrgPerson对象类的在schema中的定义，可以清楚的看到它的父类SUB和可选属性MAY、必要属性MUST(继承自organizationalPerson)，关于各属性的语法则在schema中的attributetype定义。

# inetOrgPerson

# The inetOrgPerson represents people who are associated with an

# organization in some way. It is a structural class and is derived

# from the organizationalPerson which is defined in X.521 [X521].

objectclass ( 2.16.840.1.113730.3.2.2

NAME 'inetOrgPerson'

DESC 'RFC2798: Internet Organizational Person'

SUP organizationalPerson

STRUCTURAL

MAY (

audio $ businessCategory $ carLicense $ departmentNumber $

displayName $ employeeNumber $ employeeType $ givenName $

homePhone $ homePostalAddress $ initials $ jpegPhoto $

labeledURI $ mail $ manager $ mobile $ o $ pager $

photo $ roomNumber $ secretary $ uid $ userCertificate $

x500uniqueIdentifier $ preferredLanguage $

userSMIMECertificate $ userPKCS12 )

)

4.4 Schema

对象类（ObjectClass）、属性类型（AttributeType）、语法（Syntax）分别约定了条目、属性、值，他们之间的关系如下图所示。所以这些构成了模式(Schema)——对象类的集合。条目数据在导入时通常需要接受模式检查，它确保了目录中所有的条目数据结构都是一致的。

ldap_schema_attr_entry

schema（一般在/etc/ldap/schema/目录）在导入时要注意前后顺序。

4.5 backend & database

ldap的后台进程slapd接收、响应请求，但实际存储数据、获取数据的操作是由Backends做的，而数据是存放在database中，所以你可以看到往往你可以看到backend和database指令是一样的值如 bdb 。一个 backend 可以有多个 database instance，但每个 database 的 suffix 和 rootdn 不一样。openldap 2.4版本的模块是动态加载的，所以在使用backend时需要moduleload back_bdb指令。

bdb是一个高性能的支持事务和故障恢复的数据库后端，可以满足绝大部分需求。许多旧文档里（包括官方）说建议将bdb作为首选后端服务（primary backend），但2.4版文档明确说hdb才是被首先推荐使用的，这从 2.4.40 版默认安装后的配置文件里也可以看出。hdb是基于bdb的，但是它通过扩展的索引和缓存技术可以加快数据访问，修改entries会更有效率，有兴趣可以访问上的链接或slapd.backends。

另外config是特殊的backend，用来在运行时管理slapd的配置，它只能有一个实例，甚至无需显式在slapd.conf中配置。

4.6 TLS & SASL

分布式LDAP 是以明文的格式通过网络来发送信息的，包括client访问ldap的密码（当然一般密码已然是二进制的），SSL/TLS 的加密协议就是来保证数据传送的保密性和完整性。

SASL （Simple Authenticaion and Security Layer）简单身份验证安全框架，它能够实现openldap客户端到服务端的用户验证，也是ldapsearch、ldapmodify这些标准客户端工具默认尝试与LDAP服务端认证用户的方式（前提是已经安装好 Cyrus SASL）。SASL有几大工业实现标准：Kerberos V5、DIGEST-MD5、EXTERNAL、PLAIN、LOGIN。

Kerberos V5是里面最复杂的一种，使用GSSAPI机制，必须配置完整的Kerberos V5安全系统，密码不再存放在目录服务器中，每一个dn与Kerberos数据库的主体对应。DIGEST-MD5稍微简单一点，密码通过saslpasswd2生成放在sasldb数据库中，或者将明文hash存到LDAP dn的userPassword中，每一个authid映射成目录服务器的dn，常和SSL配合使用。参考将 LDAP 客户端配置为使用安全性

EXTERNAL一般用于初始化添加schema时使用，如ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif。

4.7 LDIF

LDIF（LDAP Data Interchange Format，数据交换格式）是LDAP数据库信息的一种文本格式，用于数据的导入导出，每行都是“属性: 值”对，见 openldap ldif格式示例

OpenLDAP(2.4.3x)服务器安装配置方法见这里。

NIS 是什么

1.网络信息服务（NIS）
(Network Information Service)
NIS是集中控制几个系统管理数据库的网络用品。NIS简化了UNIX和LINUX桌面客户的管理工作，客户端利用它可以使用中心服务器的管理文件。桌面系统的用户无需建立他们自己的/etc/passwd，他们只简单的使用维护在NIS服务器的文件即可。
提到NIS不得不先说明一下WINDOWS2000的域控制器，在局域网内有一台WIN2000域控制器，下面有一些机器加入到这个域中，在下的机器登录时，有一个选项是选择登入到本机还时登入到域内，登入本地的密码有本机控制，但是如果登入域内，密码由域控制器负责管理。
LINUX也是操作系统，跟WIN2000没有本质的区别，所以仔细读上段话，就能理解NIS是原理是什么样了，这时出现了一个重要的文件/etc/nsswitch.conf
NIS是一个客户机/服务器系统，ypbind是定义NIS服务器的客户端进程。一旦确定了服务器位置，客户机绑定到了服务器上，所以客户端的住处查询都发往服务器。ypserv是回答客户端查询的服务器进程。

2.NIS有点类似于WINDOWS的domain，是一个集中身份管理的方式。在NIS服务器上建立各个用户，当计算机加入到NIS中时，便可以使用NIS域中的任何帐户登录这台计算机，如果多台Linux加入到一个NIS域，你可以用一个统一的账号登录和访问各个计算机，而不用在每台机器上都建立这样一个用户。
但是NIS域有个致命的缺点是，它是明文发送认证信息的，这使得这种机制的安全性很成问题。而windows域有很好的NTLM认证方式，所以至今WINDOWS域被广泛接受而 NIS基本无人使用。