轻型目录访问协议 ldap 公司内部网站的登录 单点登录

 

 

https://zh.wikipedia.org/wiki/轻型目录访问协议

轻型目录访问协议英文Lightweight Directory Access Protocol缩写LDAP/ˈɛldæp/)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。[1]

目录服务在开发内部网和与互联网程序共享用户、系统、网络、服务和应用的过程中占据了重要地位。[2]例如,目录服务可能提供了组织有序的记录集合,通常有层级结构,例如公司电子邮件目录。同理,也可以提供包含了地址和电话号码的电话簿

LDAP由互联网工程任务组(IETF)的文档RFC定义,使用了描述语言ASN.1定义。最新的版本是版本3,由RFC 4511所定义。例如,一个用语言描述的LDAP的搜索如:“在公司邮件目录中搜索公司位于那什维尔名字中含有“Jessy”的有邮件地址的所有人。请返回他们的全名,电子邮件,头衔和简述。”[3]

LDAP的一个常用用途是单点登录,用户可以在多个服务中使用同一个密码,通常用于公司内部网站的登录中(这样他们可以在公司计算机上登录一次,便可以自动在公司内部网上登录)。[3]

LDAP基于X.500标准的子集。因为这个关系,LDAP有时被称为X.500-lite。[4]

 

鉴于原先的目录访问协议(Directory Access Protocol即DAP)对于简单的互联网客户端使用太复杂,IETF设计并指定LDAP做为使用X.500目录的更好的途径。LDAP在TCP/IP之上定义了一个相对简单的升级和搜索目录的协议。

常用词"LDAP目录"可能会被误解,而实际并没有"LDAP目录"这么一个目录种类。通常可以用它来描述任何使用LDAP协议访问并能用X.500标识符标识目录中对象的目录。与ISODE提供的X.500协议的网关相比,尽管OpenLDAP及其来自密歇根大学的前身等的目录基本上设计成专门为LDAP访问而优化的,但也没有比其他用LDAP协议访问的目录额外多出来所谓“LDAP目录”。

协议的第三版由Netscape的Tim Howes,ISODE的Steve Kille和Critical Angle Inc的Mark Wahl撰写。

协议内容[编辑]

LDAP目录的条目(entry)由属性(attribute)的一个聚集组成,并由一个唯一性的名字引用,即专有名称distinguished name,DN)。例如,DN能取这样的值:“ou=people,dc=wikipedia,dc=org”。

         dc=org
 
      |dc=wikipedia
       /          \
 ou=people     ou=groups

LDAP目录与普通数据库的主要不同之处在于数据的组织方式,它是一种有层次的、树形结构。所有条目的属性的定义是对象类object class的组成部分,并组成在一起构成schema;那些在组织内代表个人的schema被命名为white pages schema。数据库内的每个条目都与若干对象类联系,而这些对象类决定了一个属性是否为可选和它保存哪些类型的信息。属性的名字一般是一个易于记忆的字符串,例如用cn为通用名(common name)命名,而"mail"代表e-mail地址。属性取值依赖于其类型,并且LDAPv3中一般非二进制值都遵从UTF-8字符串语法。例如,mail属性包含值“user@example.com”;jpegPhotos属性一般包含JPEG/JFIF格式的图片。

LDAP目录条目可描述一个层次结构,这个结构可以反映一个政治、地理或者组织的范畴。在原始的X.500模型中,反应国家的条目位于树的顶端;接着是州或者民族组织。典型的LDAP配置使用DNS名称作为树形结构的顶端,下列是代表人、文档、组织单元、打印机和其他任何事务的条目。

LDAP影响了后续的Internet协议,包括新版本的X.500Directory Services Markup Language (DSML)Service Provisioning Markup Language (SPML)Service Location Protocol.

 

https://zh.wikipedia.org/wiki/單一登入

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一退出(single sign-off)就是指,只需要单一的退出动作,就可以结束对于多个系统的访问权限。

 

优点

使用单点登录的好处包括:

  • 降低访问第三方网站的风险(不存储用户密码,或在外部管理)。
  • 减少因不同的用户名和密码组合而带来的密码疲劳
  • 减少为相同的身份重新输入密码所花费的时间。
  • 因减少与密码相关的调用IT服务台的次数而降低IT成本。[1]

SSO为所有其它应用程序和系统,以集中的验证服务器提供身份验证,并结合技术以确保用户不必频繁输入密码。

安全[编辑]

2012年3月,一篇研究论文报告了对社会登录机制的一项广泛研究。该文作者发现了8项严重的逻辑漏洞,出现在备受瞩目的ID提供者和依赖方网站中,如OpenID(包括Google账户和PayPal Access)、FacebookJanrainFreelancer.comFarmVilleSears。由于研究人员在公布所发现的缺陷之前,就通知了各ID提供者和依赖方网站,因此这些漏洞已经被及时堵上,因而并没有出现安全隐患的报告。[2]

2014年5月,隐蔽重定向漏洞被披露。[3]该漏洞在《OAuth 2.0和OpenID相关的隐蔽重定向漏洞》中首次被报告,发现者是新加坡南洋理工大学数学博士生王晶(Wang Jing)。[4][5][6]事实上,几乎所有的单点登录协议都受影响。隐蔽重定向利用了易受跨站脚本或公开重定向攻击的第三方客户端。[7]

 

posted @ 2017-04-23 00:41  papering  阅读(607)  评论(0编辑  收藏  举报