LDAP 备忘录

概述

鉴于原先的目录访问协议(Directory Access Protocol即DAP)对于简单的互联网客户端使用太复杂,IETF设计并指定LDAP做为使用X.500目录的更好的途径。LDAPTCP/IP之上定义了一个相对简单的升级和搜索目录的协议。

我们知道,人们对计算机网络的使用和管理涉及了各种庞杂的资源,信息.为了提高性能,便于使用,有效管理分布式应用的服务,资源,用户及别的对象信息,这些信息需要清晰,一致地组织起来.基于这样的需求,描述各种用户,应用,文件,打印机和其它可从网络访问的资源的信息被集中到一个特殊的数据库中,这种数据库被称为目录.目录存放对象的公开或非公开的信息,这些信息以某种顺序组织,描述了每个对象的细节.电话簿,图书馆藏书卡片目录就是常见的目录.
 

常用词"LDAP目录"可能会被误解,而实际并没有"LDAP目录"这么一个目录种类。通常可以用它来描述任何使用LDAP协议访问并能用X.500标识符标识目录中对象的目录。与ISODE提供的X.500协议的网关相比,尽管OpenLDAP及其来自密歇根大学的前身等的目录基本上设计成专门为LDAP访问而优化的, 但也没有比其他用LDAP协议访问的目录额外多出来所谓“LDAP目录”。

LDAP四个模型:信息模型、命名模型、功能模型、安全模型

LDAP模型-信息模型, 条目,属性和值

  • 基本信息单元是条目,它是一个对象的信息集合,每个条目有一个DN。
  • 属性类型是由相关的语法和匹配规则的。
  • 管理员可以设定某一属性是否有多个值

LDAP模型-命名模型

  • 如何组织及定义数据。
  • 将条目规划为一个树状结构。
  • 例如:按地理位置,组织部门等划分

LDAP模型-功能模型, 三组操作:

  • Interrogation Operations:查找和恢复数据
  • Update Operations: 增加,删除,重命名等
  • Authentication and control: 加密,认证等
     

协议的第三版由Netscape的Tim Howes,ISODE的Steve Kille和Critical Angle Inc的Mark Wahl撰写。

 

协议内容

为了能对LDAP协议进行更好的理解,我们需要对以下概念有初步的认识:

  • 目录:Directory,存放对象的信息,这些信息以某种顺序组织,详细描述每个对象.
  • 目录信息树:DIT,Directory Information Tree,目录条目的集合构成了目录信息树.
  • 条目:Entry,目录信息树中的一个结点,是一个对象信息的集合,是目录信息中最基本的单位,包含该对象的一系列属性.
  • 属性:Attribute,属性描述对象的特征.一个属性由属性类型(type)和一个或多个属性值(values)构成.
  • 相对标识名:RDN,Relative Distinguished Name,条目的名字.它被用来区别同级的其它条目
  • 唯一标识名:DN,Distinguished Name,在一个目录信息树中唯一标识一个条目的名字.从某个入口到根的直接下级的RDN序列构成了该入口的Distinguished Name(辨识名),用来在整个树中标识这个节点
    ®

LDAP目录的条目(entry)由属性(attribute)的一个聚集组成,并由一个唯一性的名字引用,即专有名称distinguished name,DN)。 例如,DN能取这样的值:“cn=John Doe,ou=people,dc=wikipedia,dc=org”。所有条目的属性的定义是对象类object class的组成部分,并组成在一起构成schema;那些在组织内代表个人的schema被命名为white pages schema。数据库内的每个条目都与若干对象类联系,而这些对象类决定了一个属性是否为可选和它保存哪些类型的信息。属性的名字一般是一个易于记忆的字符串,例如用cn为通用名(common name)命名,而"mail"代表e-mail地址。属性取值依赖于其类型,并且LDAPv3中一般非二进制值都遵从UTF-8字符串语法。例如,mail属性包含值“[email protected]”;jpegPhotos属性一般包含JPEG/JFIF格式的图片。

DN是用来引用条目的,DN相当于关系数据库表中的关键字(Primary Key)。属性由类型(Type)和一个或多个值(Values)组成,相当于关系数据库中的字段(Field)由字段名和数据类型组成,只是为了方便检索的需要,LDAP中的Type可以有多个Value

LDAP目录条目可描述一个层次机构,这个结构可以反映一个政治、地理或者组织的范畴。在原始的X.500模型中,反应国家的条目位于树的顶端;接着是州或者民族组织。典型的LDAP 配置使用DNS名称作为树形结构的顶端,下面是代表人、文档、组织单元、打印机和其他任何事务的条目。

LDAP影响了后续的Internet协议,包括新版本的X.500Directory Services Markup Language (DSML)Service Provisioning Markup Language (SPML)Service Location Protocol.

RFC

  • RFC 1777 - LDAPv2
  • RFC 1778 - LDAPv2 String Representation of Standard Attribute Syntaxes
  • RFC 1959 - URL Format
  • RFC 1960RFC 2254 - String Representation of LDAP Search Filters
  • RFC 1823 - C API
  • RFC 2247 - Use of DNS domains in distinguished names
  • RFC 2251 - LDAPv3: The specification of the LDAP on-the-wire protocol
  • RFC 2252 - LDAPv3: Attribute Syntax Definitions
  • RFC 2253 - LDAPv3: UTF-8 String Representation of Distinguished Names
  • RFC 2254 - LDAPv3: The String Representation of LDAP Search Filters
  • RFC 2255 - LDAPv3: The LDAP URL Format
  • RFC 2256 - LDAPv3: A Summary of the X.500(96) User Schema for use with LDAPv3
  • RFC 2829 - LDAPv3: Authentication Methods for LDAP
  • RFC 2830 - LDAPv3: Extension for Transport Layer Security
  • RFC 3377 - LDAPv3: Technical Specification
  • RFC 2307 - Using LDAP as a Network Information Service

 

产品

LDAP从下面厂商获得广泛支持:

此外还有开源/自由软件的实现——如OpenLDAP Apache_HTTP_Server使用proxy (通过模块mod_proxy)支持LDAP

 

外部链接

<!-- Saved in parser cache with key zhwiki:pcache:idhash:123472-0!1!0!0!!zh!2!zh and timestamp 20051223055148 -->


http://blog.csdn.net/platformlib/archive/2006/01/05/571565.aspx

你可能感兴趣的:(oracle,应用服务器,linux,网络协议,网络应用)