LDAP概念和原理
http://blog.sina.com.cn/s/blog_6151984a0100ey3z.html
什么是目录服务?
目录服务就是按照树状存储信息的模式
目录服务的特点?目录服务与关系型数据库不同?
- 目录服务的数据类型主要是字符型, 而不是关系数据库提供的整数、浮点数、日期、货币等类型
为了检索的需要添加了BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法(Syntax)
- 同样也不提供象关系数据库中普遍包含的大量的函数
- 目录有很强的查询(读)功能,适合于进行大量数据的检索
- 但目录一般只执行简单的更新(写)操作,不支持批量更新所需要的事务处理功能
- 它主要面向数据的查询服务(查询和修改操作比一般是大于10:1),不提供事务的回滚(rollback)机制.
- 目录具有广泛复制信息的能力,适合于多个目录服务器同步/更新
常见的目录服务软件
- X.500
- LDAP
- Actrive Directory,Microsoft公司
- NIS
LDAP
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写
LDAP标准实际上是在X.500标准基础上产生的一个简化版本
LDAP特点
- LDAP的结构用树来表示,而不是用表格。正因为这样,就不能用SQL语句了
- LDAP可以很快地得到查询结果,不过在写方面,就慢得多
- LDAP提供了静态数据的快速查询方式
- Client/server模型
Server 用于存储数据
Client提供操作目录信息树的工具
这些工具可以将数据库的内容以文本格式(LDAP 数据交换格式,LDIF)呈现在您的面前
- LDAP是一种开放Internet标准,LDAP协议是跨平台的的Interent协议
它是基于X.500标准的, 与X.500不同,LDAP支持TCP/IP(即可以分布式部署)
LDAP存储这样的信息最为有用: 也就是数据需要从不同的地点读取,但是不需要经常更新:
- 公司员工的电话号码簿和组织结构图
- 客户的联系信息
- 计算机管理需要的信息,包括NIS映射、email假名,等等
- 软件包的配置信息
- 公用证书和安全密匙
Ldap的client /server结构
| server |
/usr/sbin/slapd -u ldap -h ldap:/// |
| client |
数据库操作client 用于对ldap server库进行操作 工具:ldapadd, ldapsearch |
| 实用client 用于将ldap server库在实际工作中使用 工具:radius+ldap, pam+ldap |
身份认证在LDAP中提供三种认证机制:
| 匿名 Ldapsearch –x -LLL |
| 基本认证 通过用户名和密码进行身份识别,又分为简单密码和MD5密码认证 # ldapadd -x -D "cn=root,dc=otas,dc=cn" -W -f base.ldif -x就是simple authetication Enter LDAP Password: 输入admin123 adding new entry "dc=otas,dc=cn" adding new entry "ou=People,dc=otas,dc=cn" adding new entry "ou=Group,dc=otas,dc=cn" |
| SASL Simple Authentication and Secure Layer LDAP提供的在SSL和TLS安全通道基础上进行的身份认证,包括数字证书的认证 |
Ldap端口号(显然提供分布式ldap)——389,636
[root@vmmac modules]# cat /etc/services | grep ldap
ldap 389/tcp 明文
ldap 389/udp 明文
ldaps 636/tcp # LDAP over SSL
ldaps 636/udp # LDAP over SSL
TLS 安全性
分布式LDAP 是以 明文的格式通过网络来发送信息的,包括client访问sldap的密码。TLS(SSL 的后继者,由OpenSSL 包)加密机制来解决这个问题。
LDAP目录数据结构
- 在LDAP中目录是按照树型结构组织——目录信息树(DIT)
DIT是一个主要进行读操作的数据库
- DIT由条目(Entry)组成,条目相当于关系数据库中表的记录;
条目是具有分辨名DN(Distinguished Name)的属性-值对(Attribute-value,简称AV)的集合
在目录树中怎么组织数据
| cn=Fran Smith,ou=employees,dc=foobar,dc=com ------------ ----------------- 容器条目 BaseDN -------------------------------------------- DN |
1。在UNIX文件系统中,最顶层是根目录(root),LDAP目录也通常用 ROOT做根,通常称为BaseDN。
2。因为历史(X.500)的原因,LDAP目录用 OU(Organization Unit)从逻辑上把数据分开来。
Ou 也是一种条目,容器条目
3. Ou 下就是真正的用户条目
什么是dn?
DN,Distinguished Name分辨名
在LDAP中,一个条目的分辨名叫做“DN”,DN是该条目在整个树中的 唯一名称标识
DN相当于关系数据库表中的关键字(Primary Key);
是一个识别属性,通常用于检索
常见的两种DN设置:
| 基于cn(姓名) |
cn=Fran Smith,ou=employees,dc=foobar,dc=com (dn格式就是这么一大串) 最常见的CN是/etc/group转来的条目 |
| 基于uid(User ID) |
uid=fsmith,ou=employees,dc=foobar,dc=com 最常见的UID是/etc/passwd和/etc/shadow转来的条目 |
| [root@vmmac migration]# ldapsearch -x -LLL "uid=mac*" dn: uid=mac,ou=People,dc=otas,dc=cn 唯一标适 uid: mac cn: mac CN=Common Name 为用户名或服务器名 objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e2NyeXB0fSQxJGRTMFJoR1lwJHk0dkdKc1ByM3BlVmo4Z243dEhoQTA= shadowLastChange: 13697 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 500 gidNumber: 500 homeDirectory: /home/mac dn: uid=macg,ou=People,dc=otas,dc=cn uid: macg cn: macg objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e2NyeXB0fSQxJGxHdE9tTW9vJHR0TFhpYXc2Y1VJb0RyWU9xUlVDSzE= shadowLastChange: 14186 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 503 gidNumber: 503 homeDirectory: /home/macg |
Base DN (就是dc=,dc= )
LDAP目录树的最顶部就是根,也就是所谓的“Base DN"。
BaseDN通常采用两种格式:
(假定我在名为FooBar 的电子商务公司工作,这家公司在Internet上的名字是foobar.com)
| 商务型格式——以X.500格式表示的基准DN |
o="FooBar, Inc.", c=US |
| Internet型格式——以公司的Internet 域名地址表示的基准DN) 是最常用的格式 |
dc=foobar, dc=com |
LDIF 格式(此格式用于LDAP数据导入、导出)
LDIF是LDAP数据库信息的一种 文本格式,包含:
- 行界定
- 冒号分隔
- 属性-值对
| [root@vmmac migration]# cat passwd.ldif dn: uid=mac,ou=People,dc=otas,dc=cn uid: mac cn: mac objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: {crypt}$1$dS0RhGYp$y4vGJsPr3peVj8gn7tHhA0 gidNumber: 500 homeDirectory: /home/mac |
一个典型的 entry例子(一个属性可以有多个值)
Foobar, Inc.的员工Fran Smith的LDAP记录。
| dn: uid=fsmith, ou=employees, dc=foobar, dc=com 完整DN,包括在目录树中的完整路径 objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson objectclass: foobarPerson uid: fsmith givenname: Fran sn: Smith cn: Fran Smith cn: Frances Smith CN有多个值 你可能只知道她的名字叫Fran,但是对人力资源处的人来说她的正式名字叫做Frances。因为保存了她的两个名字 telephonenumber: 510-555-1234 roomnumber: 122G o: Foobar, Inc. mailRoutingAddress: [email protected] mailhost: mail.foobar.com userpassword: {crypt}3x1231v76T89N uidnumber: 1234 gidnumber: 1200 homedirectory: /home/fsmith loginshell: /usr/local/bin/bash |
属性/值搜索的时候是不区分大小写的
某些特殊的属性(例如,password)在搜索的时候需要区分大小写。
/ etc/passwd和/etc/group文件里的用户被migrate导入ldap后,会产生两条条目,分别属于People这个ou,和Group这个ou
显然属于People ou的条目对应passwd,属于Group ou的条目对应group
| dn: cn=test1,ou=Group,dc=otas,dc=cn objectClass: posixGroup objectClass: top cn: test1 userPassword:: e2NyeXB0fXg= gidNumber: 500 /etc/group |
| dn: uid=test1,ou=People,dc=otas,dc=cn uid: test1 cn: test1 objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e2NyeXB0fSQxJHpGR3drdUdlJFIyZ3BZTlh3QzVPaXFOck1CTGU2QjE= shadowLastChange: 14298 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 500 gidNumber: 500 homeDirectory: /home/test1 /etc/passwd /etc/shaddow |
user和group在ldap中的不同
- 从属ou不同
user属于ou=People
group属于ou=Group
- dn表示方式不同
user的dn用uid打头:uid=news,ou=People,dc=otas,dc=cn
group的dn用cn打头:cn=news,ou=Group,dc=otas,dc=cn