LDAP 资料.ppt

LDAP培圳资料 Contents 什么是LDAP LDAP协议LDAP设计LDAP部署LDAP服务器LDAPAPI 什么是LDAP LDAP的英文全称LightweightDirectoryAccessProtocol 轻型目录访问协议 一般都简称为LDAP Lightweight LDAP继承于X 500协议 X 500实际上不是一个协议 它是一个协议族 包括目录访问协议DAP 目录系统协议DSP 目录操作绑定协议DOP和目录信息Shadowing协议DISP目录访问协议DAP这种应用层协议是严格遵照复杂的ISO七层协议模型制定的 TCP IP协议体系的普及 更使得这种协议越来越不适应需要 Lightweight LDAP协议从1993年批准 产生了LDAPV1版本1995年发布了第二个版本LDAPV2随后于1997年发布了第三个版本LDAPV3 它的出现是LDAP协议发展的一个里程碑性标志 它使LDAP协议不仅仅作为X 500的简化版 同时提供了LDAP协议许多自有的特性 使LDAP协议功能更为完备 具有了更大的生命力 Lightweight LDAP简化了X 50090 的功能 10 的成本 传输LDAP直接运行于IP之上 TCP或UDP功能通过排除低级使用特性来简化X 500的功能数据表示法LDAP使用简单的字符串格式编码LDAP使用简化的编码规则 Directory 典型的目录结构每个结点都有路径名目录下可以存放文件 文件夹文件可以存放任何内容 Directory 典型的目录结构每个结点都有 名目录下可以存放目录及结点结点可以存放任意属性属性可以是二进制等数据 Protocol LDAP是一种协议 LDAP协议没有存储模式 LDAP实现后台可以关系数据库 或嵌入式数据库等 LDAP协议 LDAP协议过程LDAP模型 典型的LDAP协议操作过程 典型的LDAP协议操作过程 典型的LDAP协议操作过程 客户端向LDAP服务器打开TCP连接 提交一个bind操作 该操作包含客户用来炎症的目录条目 以及验证凭据 通常为口令或者证书 服务器验证成功后返回成功结果给客户 客户端发起search请求 服务器处理请求 返回两条结果 服务器发送结果代码 客户端发起一个unbind请求 服务器关闭连接 LDAP四种基本模型 信息模型 描述LDAP中的数据如何组织命名模型 描述LDAP的信息表示方式功能模型 描述LDAP中的数据操作访问安全模型 描述LDAP中的安全机制 信息模型 描述LDAP中的数据如何组织 在LDAP中信息以树状方式组织在树状信息中的基本数据单元是条目每个条目由属性构成属性中存储有属性值 条目组成的目录树 条目由属性组成 条目剖析 命名模型 描述LDAP的信息表示方式 LDAP中的命名模型 也即LDAP中的条目定位方式 在LDAP中每个条目均有自己的DN和RDN DN是该条目在整个树中的唯一名称标识 RDN是条目在父节点下的唯一名称标识 如同文件系统中 带路径的文件名就是DN 文件名就是RDN 命名模型dc com RDN dc comDN dc com 命名模型dc huawei RDN dc huaweiDN dc huawei dc com 命名模型cn aijianming RDN cn aijianmingDN cn aijianming ou numen ou 综合产品及解决方案部 ou CorpUsers dc huawei dc com 命名模型常用命名简称 功能模型 描述LDAP中的数据操作访问 在LDAP中共有四类10种操作查询类操作 如搜索 比较更新类操作 如添加条目 删除条目 修改条目 修改条目名认证类操作 如绑定 解绑定其它操作 如放弃和扩展操作 安全模型 描述LDAP中的安全机制 身份认证通讯安全访问控制 身份认证方式 匿名 不对用户进行认证 基本认证 通过用户名和密码进行身份识别 又分为简单密码和摘要密码认证 SASL SimpleAuthenticationandSecureLayer 认证 即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证 包括数字证书的认证 通讯安全 在LDAP中提供了基于SSL TLS的通讯安全保障 访问控制 LDAP访问控制异常的灵活和丰富 在LDAP中是基于访问控制策略语句来实现访问控制的 这不同于现有的关系型数据库系统和应用系统 它是通过基于访问控制列表来实现的 无论是基于组模式或角色模式 都摆脱不了这种限制 LDAP设计 LDAPSchema设计LDAP权限设计LDAP索引 LDAPSchema设计 Schema的目的Schema的元素目录Schema格式已有的schema Schema的目的 Schema是目录中存储数据的规则集合决定目录存放什麽 及server和client如何操作设置数据的尺寸 取值范围 数据值的格式防止数据混乱 Schema的元素 属性类型 语法 匹配规则 对象类属性的OID来自X 500协议组 例 postalAddress的属性为2 5 4 16Schema的一个例子 2 5 4 13NAME description EQUALITYcaseIgnoreMatchSUBSTRcaseIgnoreSubstringsMatchSYNTAX1 3 6 1 4 1 1466 115 121 1 15 1024 属性名为description是字符串 长度为1024 caseIgnoreMatch指其值可忽略大小写 OID为2 5 4 13 语法规则为1 3 6 1 4 1 1466 115 121 1 15 Schema元素 续 Schema支持subtypeSubtype继承supertype的特性 Schema元素 续 属性的语法 StandardSyntaxes Schema元素 续 匹配规则 Schema元素 续 Objectclass每个目录条目属于一个或多个对象类决定条目中必须有的属性决定条目中可能有的属性提供搜索功能的过滤 Schema元素 续 Schema总结 已有的schema 标准的schemaLDAPstandardsdocumentsX 500standardsdocumentsIndustryconsortiumstandards LDAP权限设计 权限控制要素 hat对什么进行权限控制Who赋予谁访问权限Access赋予什么权限 LDAP权限设计 示例将读权限赋予每一个人accessto by read允许用户修改自己的条目accessto byselfwritebyanonymousauthby read LDAP权限设计 What的格式可以是匹配条目的DN的正则表达式dn dn dc huawei dc com 也可以通过匹配条目中的某些属性的过滤器来选择条目 filter LDAP权限设计 Who的格式 LDAP权限设计 Access的格式 LDAP索引 index default pres eq approx sub none 该指令说明了对于指定属性维护的索引 如果只是指定一个 将维护缺省的索引 示例 indexdefaultpres eqindexuidindexcn snpres eq subindexobjectClasseq第1行设置缺省的索引集合维护为存在和相等 第2行使得对于uid属性类型维护缺省的索引集合 存在和相等 第3行对于cn和sn属性类型维护存在 子串 和相等索引集合 第4行对于objectClass属性类型维护相等索引 默认情况下 不维护任何索引 通常情况下 建议对于objectClass属性类型维护一个相等索引 indexobjectClasseq LDAP布署 基于引用的布署基于复制的布署 引用上级服务器 Server为本地域目录服务 当配置为引用上级目录服务后 对于本地域之外的请求 返回一个指向上级目录服务 SuperiorServer 的引用 上级目录服务可以自己运行该服务 或者使用其他已有的目录服务 适用于需要提供本地目录服务并且当请求在本地目录服务之外时引用全局目录服务的场景 引用下级服务器多级部署 ServerA为全局目录服务 目录服务器A B C D共同构造企业信息目录树 A为企业目录的全局逻辑视图 B C D配置为A的逻辑子树 客户端向目录服务器A请求企业资源 当请求逻辑子树B C D的资源时 目录服务器A返回资源所在的目录服务器引用给客户端 基于复制的目录服务 部署两台目录服务器 一台主目录服务器 一台备份目录服务器 后台通过slurpd来完成主 备目录服务器间的复制同步 在该配置中 只能在主服务器上进行数据更新操作 常用的LDAP服务器 OpenLDAPNovelleDirectorysunonedirectoryserverActiveDirectory AD IBMTivoliDirectoryServerFedoraDirectoryServer FDS OpenLDAP OpenLDAP是GPL的开源LDAP服务器 应用非常广泛 性能虽然不是最好 但是能满足一般应用的需求 优点 开源免费 应用广泛 已经很成熟 缺点 性能有点差 容量不大 只能支持几百万个实例 据说ACL很难配置 NovelleDirectory NovelleDirectory 可以通过LDAP XML DSML SOAP ODBC JDBC JNDI EJB ActiveX和ADSI等方式访问eDirectory eDirectory可以在一个树上添加十亿个实例 而OpenLDAP只能在一个树里面添加几百万的实例 优点 性能好 成熟缺点 庞大 复杂 Sunonedirectoryserver Sunonedirectoryserver作为SunoneServer的一部分 它的前身是NetscapeDirectoryServer 提供windows2000server的支持 优点 性能好缺点 windows平台支持不是很好 FedoraDirectoryServer FDS FedoraDirectoryServer FDS 也是从NetscapeDirectoryServer发展而来的一个LDAP 它是RedHatDirectoryServer的GPL版本 所以将会是OpenLDAP的一个强有力的竞争者 优点 功能相比OpenLDAP强大很多 开源免费缺点 2005年6月份才推出的新产品可能不是很成熟 ActiveDirectory Ac