LDAP

一、什么是LDAP

LDAP是基于X.500标准的轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,简称为LDAP。但又与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。

目录服务

1.目录服务是一个特殊的数据库,是用来保存描述性的、基于属性的详细信息,且支持过滤功能。

2.目录服务是动态的、可扩展的。

目录是一个为查询、搜索和浏览而优化的数据库,以树状层次存储数据。就像DNS树和UNIX中目录树一样。

目录数据库和关系数据库的比较

目录数据库有优异的读性能,但写性能差,且没有事务处理和回滚等复杂功能,不适用于存储频繁更新的数据。

LDAP目录访问服务是由目录结构和一套访问协议组成的系统。

使用LADP的原因

LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”,可以大大降低重复开发和对接的成本。

我们拿开源系统(YAPI)做案例,只需做一下简单的几步配置就可以达到LDAP的单点登录认证了:

 1 {
 2 "ldapLogin": {
 3       "enable": true,
 4       "server": "ldap://l-ldapt1.ops.dev.cn0.qunar.com",
 5       "baseDn": "CN=Admin,CN=Users,DC=test,DC=com",
 6       "bindPassword": "password123",
 7       "searchDn": "OU=UserContainer,DC=test,DC=com",
 8       "searchStandard": "mail"
 9    }
10 }

二、LDAP的主要产品

LDAP主要产品
厂商 产品 介绍
SUM   SUNONE Directory Server 基于文本数据库的存储,速度快 。
IBM IBM Directory Server 基于DB2 的的数据库,速度一般。
Novell Novell Directory Server 基于文本数据库的存储,速度快, 不常用到。
Microsoft  Microsoft Active Directory 基于WINDOWS系统用户,对大数据量处理速度一般,但维护容易,生态圈大,管理相对简单。
Opensource Opensource OpenLDAP 开源的项目,速度很快,但是非主 流应用。

 

 
 
 
 
 
 
 
 
 
 

 

三、LDAP的基本模型

每一个系统、协议都会有属于自己的模型,LDAP也不例外,在了解LDAP的基本模型之前我们需要先了解几个LDAP的目录树概念:

(一)目录树概念

1. 目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。

2. 条目:每个条目就是一条记录,每个条目有自己的唯一可区别的名称(DN)。

3. 对象类:与某个实体类型对应的一组属性,对象类是可以继承的,这样父类的必须属性也会被继承下来。

4. 属性:描述条目的某个方面的信息,一个属性由一个属性类型和一个或多个属性值组成,属性有必须属性和非必须属性。

(二)DC、UID、OU、CN、SN、DN、RDN

关键字

英文全称

含义

dc

Domain Component

域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置)

uid

User Id

用户ID songtao.xu(一条记录的ID)

ou

Organization Unit

组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织)

cn

Common Name

公共名称,如“Thomas Johansson”(一条记录的名称)

sn

Surname

姓,如“许”

dn

Distinguished Name

“uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一)

rdn

Relative dn

相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson”

 

 

 

 

 

 

 

 

 

 

 

 

(三)基本模型:

信息模型:

  命名模型:

  

  功能模型:

  

  安全模型:

  

四、LDAP的使用

  那我们是如何访问LDAP的数据库服务器呢?

  

  统一身份认证主要是改变原有的认证策略,使需要认证的软件都通过LDAP进行认证,在统一身份认证之后,用户的所有信息都存储在AD Server中。终端用户在需要使用公司内部服务的时候,都需要通过AD服务器的认证。

  那么程序中是如何访问的呢? 我们以PHP脚本作为例子:

1 $ldapconn = ldap_connect(“10.1.8.78")
2 $ldapbind = ldap_bind($ldapconn, 'username', $ldappass);
3 $searchRows= ldap_search($ldapconn, $basedn, "(cn=*)");
4 $searchResult = ldap_get_entries($ldapconn, $searchRows);
5 ldap_close($ldapconn);

1. 连接到LDAP服务器;

2. 绑定到LDAP服务器;

3. 在LDAP服务器上执行所需的任何操作;

4. 释放LDAP服务器的连接;

 参考链接:https://www.cnblogs.com/wilburxu/p/9174353.html

posted @ 2019-04-29 11:16  鹤雁  阅读(406)  评论(0编辑  收藏  举报