注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Study Desk

Share my desk with you!......

 
 
 

日志

 
 

LDAP基础  

2009-11-26 21:11:23|  分类: 计总会 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
一.LDAP的4中基本模型
       LDAP的体系结构由4中基本模型组成:信息模型描述LDAP的信息表达方式;命名模型描述LDAP的数据如何组织;功能模型描述LDAP的数据操作访问方式;安全模型描述LDAP的安全机制。

       1.信息模型
       LDAP信息模型定义能够在目录中存储的数据类型和基本的信息单位。

       2.命名模型
       LDAP中的命名模型,即LDAP中的条目定位方式。在LDAP中每个条目均有自己的DN(Distinguished Name,标识名)和RDN(Relative Distinguished Name,相对标识名)。DN是该条目在整个数中唯一名称标识。RDN是条目在父节点下唯一名称标识,如同文件系统中,带路径的文件名就是DN,文件名就是RDN.

       3.功能模型
       LDAP功能模型说明了能够使用LDAP协议对目录执行某些操作。在LDAP中共有4类操作(共10种):
       (1)查询类操作,如搜索,比较;
       (2)更新类操作,如添加条目,删除条目,修改条目和修改条目名;
       (3)认证类操作,如绑定,解绑定;
       (4)其它操作,如放弃和扩展操作。

       4.安全模型
       LDAP的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同。3种:
       (1)无认证
       (2)基本认证:当使用LDAP的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名(DN)和口令来标识自己。服务进程检查客户进程发送的分辨名(DN)和密码是否与目录中储存的分辨名(DN)和密码相匹配,如果匹配则认为通过了认证。
       (3)SASL认证:即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证,包括数字证书的认证。
    

       二.LDAP存储结构
       一棵目录信息数由若干条目(Entry)组成,每个条目有惟一的标识名DN,一个条目是一个对象,每个条目由多个“属性(Attribute)”组成,每个属性由一个类型和一个到多个值组成,每个属性可以对应一个或多个“值(Value)”。
LDAP基础 - 塞外戎马 - Study Desk

       三.LDAP的基本概念
       目录数据库是以目录信息数(Directory Information Tree,DIT)为存储方式的数型存储结构。
*常用关键字及其对应的含义
【dc】-- Domain Component-- 域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com

【uid】-- User ID-- 用户ID,如“tom”

【ou】-- Organization Unit-- 组织单位,类似于Linux文件系统中的子目录,是一个容器对象,组织单位可以包含其他各种对象(包括其他组织单元),如“market”

【sn】-- Surname-- 姓,如“Johansson”

【dn】-- Distinguished Name-- 唯一辨别名,类似于Linux文件系统中的绝对路径,每个对象都有一个唯一的名称,如“uid=tom,ou=market,dc=example,dc=com”,在一个目录树中DN总是唯一的

【rdn】-- Relative dn-- 相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=ton”或“cn=Thomas Johansson”

【c】-- Country -- 国家,如“CN”或“US”等

【o】-- Organization -- 组织名,如“Example,Inc.”


       四.规划目录树
       要实现LDAP,首先要规划目录树,一个灵活且易于扩展的目录树可以减少后期维护目录树的工作量。
       通过例子说明。假设有一个名为Example的公司(DNS名为example.com),其组织结构如下:
LDAP基础 - 塞外戎马 - Study Desk


     (1)首先要为目录树建立一个“根(Root)”。根是目录树的最顶层,后面建立的所有对象都是基于这个根的,所以它也称为基准DN。它可以有3种格式表示。
     *使用X.500标准格式:o=example,c=CN。 
     *直接使用公司的DNS域名:o=example.com。
     *使用公司的DNS域名的不同部分:dc=example,dc=com。
     第3种格式更利于以后目录树的扩展,如将来Example公司合并了abc公司,之需要将dc=com最为根即可,不需要修改原有的结构。

     (2)公司中的部门作为OU,如“ou=market”。OU是目录树的分枝节点,下面可以包含其他分枝节点或叶子节点。

     (3)用户是目录树的最底层(即叶子节点),可以根据用户所在的部门将其放置在不同的OU中,使用uid或cn描述都可以,如“uid=tom”或“cn=Thomas Johansson”。
LDAP基础 - 塞外戎马 - Study Desk

       四.LDAP服务的应用领域

       由于LDAP所具有的查询效率高,树状的信息管理模式,分布式的部署框架以及灵活而细腻的访问控制,是LDAP广泛地用于基础性,关键性信息(如用户信息,网络资源信息等)的管理。LDAP的应用主要涉及以下几种类型。
     *信息安全类:数字证书管理,授权管理,单点登录。
     *科学计算类:DCE(Distributed Computing Envirionment,分布式计算环境),UDDI(Universal Description,Discovery and Integration,统一描述,发现和集成协议)。
     *网络资源管理类:MAIL系统,DNS系统,网络用户管理,电话号码薄。
     *电子政务资源管理类:内网组织信息服务,电子政务目录体系,人口基础库,法人基础库。

  评论这张
 
阅读(2192)| 评论(3)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017