本节课的内容

1、本节课的内容LDAP服务器介绍建立dc=bjsxt,dc=com LDAP服务器使用JAVA如何进行LDAP服务器的访问如何配置roller来应用LDAP服务器进行认证。1LDAP的概述LDAP（Lightweight Directory Acess Protocol）是轻量级目录访问协议， 轻量相对于X500目录协议说的。背景知识上世纪80年代，国际电报电话协商委员会（CCITT），需要一个空白页目录，能够查找电话号码和电子邮件;国际标准组织ISO开发基于七层网络参考模型OSI目录服务（开发出DNS），最后两家整合产生了X500。X500是针对OSI，占用很多网络资源，最后简化发展出LDAP

2、。2选择LDAP服务器的依据If the answer to each of the following questions is Yes, then storing your data in LDAP is a good idea. Would you like your data to be available cross-platform? Do you need to access this data from a number of computers or applications? Do the individual records youre storing change a

3、few times a day or less, on average? could you effectively store all the data for a given item in a single record? 3应用场合公司员工的电话号码簿和组织结构图客户的联系信息软件包的配置信息安全领域：数字证书或者安全密匙存放的数据信息文本信息（如：人名，地址，电话等）图片（比如照片）指针（指向其他数据的URL）其他一些二进制文件4LDAP服务器的特点特点：查询速度快增删改的速度比较慢支持分布式5在分布式目录服务器中，LDAP目录服务器可以由多个运行在相同或者不同地理位置上的LDAP服

4、务器提供。LDAP客户机向LDAP服务器1请求信息LDAP服务器1给客户机返回LDAP URL，LDAP服务器2在这个LDAP URL上客户机根据LDAP URL向LDAP服务器2发出请求如果信息在LDAP2上，返回结果，如果不在，则返回LDAP URL，依此类推。6LDAP服务端IBM Tivoli Directory Server（商业试用）Windows Server AD (Active Directory)Linux OpenLDAP（开源）开源ApacheDs（开源）7LDAP开源客户端（支持V3,V2）ApacheDirectoryStudio-win32-1.1.0JX v3.

5、2_install_windows8LDAP基本协议模型LDAP的基本协议模型遵循C/S模型，由LDAP Client 提交符合LDAP协议的目录服务请求，应用编程接口（API）通过TCP/IP协议将目录访问操作和参数传递给LDAP服务器，LDAP服务器直接与目录连接，并将结果返回到客户端应用。9LDAP的信息模型信息模型定义在目录中能够存储的数据类型和基本的信息单元。目录中的基本信息单元是条目（entry），即关于对象的信息集合。条目说明的是真实世界的队象（比如人，部门，服务器，打印机）10entry1entry211属性和属性值条目由属性集合组成，每个属性说明对象的一个特征。每个属性有一个

6、类型和一个或多个值，含有多个值的属性（人会有多个电话号码、联系地址）；属性的值取决依赖于属性的类型；属性有属性语法，用来决定该属性的类型属性有匹配的原则，这些规则决定属性的值该如何进行比较，例如相等规则，取子串规则。12下图表示的是描述一个人的条目，具有一个人的全名(cn):common name，姓(sn) surname，电话号码telephonenumber，电子邮件地址等属性。13LDAP Attribute组成部分Attribute名字Attribute的名字要避免与 “官方指定”的Attribute的名字冲突Attribute的名字的第一个字母必须小写，其他单词的第一个字母必须大写

7、，其他的字母必须小写Attribute的名字由a-z,0-9以及其他少量的字母构成，名字的第一个字符必须是字母，空格、下划线及一些特殊字符是不允许出现在Attribute的名字中的描述是一个描述Attribute的用途的注释。对象标识符（OID）被LDAP内部数据库引用的数字用于类型检查和模式匹配的语法Attribute是否允许有多个值 14常见的Attribute： c国家; dcdomainComponent,经常用来指一个域名的一部分，如：dc=bjsxt,dc=com; oorganizationName,指一个组织的名字; objectClass指对象类； ouorganizatio

8、nalUnitName,指一个组织单元的名字; snsurname,指一个人的姓; cncommonname,指一个对象的名字;如果指人,需要使用其全名; givenName指一个人的名字,不能用来指姓或者middlename; userPassword用户密码; uiduserid,通常指一个人的登录名; email电子信箱地址; 15LDAP的结构LDAP是按照树形目录进行组织的（与unix，linux相似）。公司的域名是，则LDAP使用域名作为整个树的根，并且用dc=bjsxt，dc=com标记标注。dc节点的后面，就是ou节点。可以把ou想象为文件夹，它是用来容纳其他节点的。ou可以对

9、应部门、组或者任何要包含其他节点的东西。ou下面的节点，可以是另一个ou，也可以是cn或者uid节点。cn是“Common Name”的缩写，它是树叶节点，可以把它对比为文件系统中的文件。cn节点通常用来存储用户的信息，例如某个用户的地址，用户密码等。16对象类（ Object Class ）定义：许多条目中具有相同的或者相似的属性，将这些属性抽取出来，封装成一个单独的类约束：Object Class中的必须包含的属性称为强制的（mandatory），可能包含的属性称为可选的（ optional ）。 继承关系：对象类遵循继承机制,子类继承父类所有强制和可选属性。Top类形成队象类的根，其他的

10、子类都直接或者间接的由它派生，top类定义的强制属性“objectclass”，保证每个目录项至少有一个对象类。AttributeFieldObject CalssTable17对象类的描述18LDAP模式Schema Schema模式定义包含对象类型的定义和属性类型的定义。对象类型定义：LDAP目录树中的每一个条目对应着一个特殊的对象类型，由对象类型来定义条目的结构。在LDAP中定义一些基本的数据类型，如O，OU，person等，还允许用户扩展新的对象类型信息。扩展对象就是定义新的对象类型继承原来的对象类型，为每个对象类型指定一个特定的标示OID。属性定义：需要指定该属性类型的标识符OID，

11、类型名，取值的数据类型，匹配的规则，排序的规则。19LDAP模式文件示例： attributetype(.4.1.800.1 Name CustomerID SUP name/继承SINGLE-VALUE/单值NO-USER-MODIFICATION)attributetype(.4.1.800.2 Name CustomerName SUP name.Objectclass(.4.1.800.4.1 Name CustomerSUP top /超类STRUCTUALMUST(Customer$CutomerName) /必须属性MAY(RegisteredDates$Date)/可选属性) 20LDAP目录服务器与数据库的区别21LDAP命名模型LDAP命名模型定义用户如何组织和引用数据。LDAP的所有目录节点构成目录信息树（DIT）。命名服务为目录的每一个条目给出唯一的一个名称。使用分辨名（ DN ）类唯一表识条目。下图的用户john可以标识为：uid=john,ou-engineering ou=people dc=bus dc=com,从左到右可以跟踪到目录树根的路径。22在任何条目DN中，最左边的一段称为相对分辨名（RDN），在兄弟条目中，每个RDN是唯一的，下图中的，虽然两个条目RDN都是cn=张艺谋，但他们在不同的子树中，所以是合法的。23LDIF文