LDAP概述和一些基本原理

1 概述

轻型目录访问协议（Lightweight Directory Access Protocol）的缩写，基于X.500标准

一个开放的，中立的，工业标准的应用协议，通过IP协议提供访问控制和维护分布式信息的目录信息。

1.1 目录服务

目录服务：与互联网程序共享用户、系统、网络、服务和应用的过程中占据了重要地位。首先：目录服务是一种特殊的数据库，用于保存描述行和基于属性的详细信息，且支持过滤功能；其次：目录服务是动态灵活可扩展的

如：目录服务可能提供了组织有序的记录集合，通常有层级结构，例如公司电子邮件目录。同理，也可以提供包含了地址和电话号码的电话簿

目录是一个为查询、浏览和搜索而优化后的数据库，它成树状结构组织数据，类似文件目录一样。

目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录更加适合用来查询

1.2 LDAP 概述

LDAP主要是被当作：一个为查询、浏览和搜索而优化的专业分布式数据库，它呈树状结构组织数据

简单来说：LDAP目录服务是由目录数据库和一套访问协议组成的系统。

LDAP是一个访问协议，我们的数据存储在目前的一些厂商（如sun）所通过的产品里面（如SUNONE Directory Server）

LDAP用途：

1. 单点登录

   用户可以在多个服务中使用同一个密码，通常用于公司内部网站的登录中

   1. 如：这样他们可以在公司计算机上登录一次，便可以自动在公司内部网上登录

2. 支持跨平台的Internet协议

3. 现在市面上大部分的产品都对LDAP提供了支持，目前只需要通过LDAP做简单的配置就可以与服务器做认证交互，降低成本

2 LDAP 模型

2.1 基本概念

目录树：在一个目录服务系统中，整个目录信息集可以表示为一个目录信息树，树中的每个节点是一个条目。

条目：每个条目就是一条记录，每个条目有自己的唯一可区别的名称（DN）。

对象类：是某个实体类型对应的一组属性，对象类可以继承，父类的必须属性也会被继承下来。

属性：描述条目的某个方面的信息，一个属性由一个属性类型和一个或多个属性值组成，属性有必须属性和非必须属性。

2.2 基本模型

dn ：一条记录的详细位置
dc ：一条记录所属区域 (哪一颗树)
ou ：一条记录所属组织 （哪一个分支）
cn/uid：一条记录的名字/ID (哪一个苹果名字)

2.2.1 信息模型

LDAP中，信息以树状方式进行组织的，在树状信息中的基本数据单元是条目，而每个条目由属性构成，属性中存储有属性值;

2.2.2 命名模型

即LDAP中的条目定位方式，在LDAP中每个条目均有自己的DN。
DN是该条目在整个树中的唯一名称标识，

如同文件系统中，带路径的文件名就是DN。

2.2.3 功能模型

在LDAP中共有四类10种操作︰
查询类操作：如搜索、比较;
更新类操作：如添加条目、删除条目、修改条目、修改条目名;
认证类操作：如绑定、解绑定;
其它操作：如放弃和扩展操作。

除了扩展操作，另外9种是LDAP的标准操作﹔

扩展操作是LDAP中为了增加新的功能，提供的一种标准的扩展框架，当前已经成为LDAP标准的扩展操作，有修改密码和startTLS扩展，

在新的RFC标准和草案中正在增加一些新的扩展操作，不同的LDAP厂商也均定义了自己的扩展操作。

2.2.4 安全模型

安全模型主要通过身份认证、安全通道和访问控制来实现。