一.LDAP的4中基本模型
LDAP的體系結構由4中基本模型組成:信息模型描述LDAP的信息表達方式;命名模型描述LDAP的數據如何組織;功能模型描述LDAP的數據操作訪問方式;安全模型描述LDAP的安全機制。
1.信息模型
LDAP信息模型定義能夠在目錄中存儲的數據類型和基本的信息單位。
2.命名模型
LDAP中的命名模型,即LDAP中的條目定位方式。在LDAP中每個條目均有自己的DN(Distinguished Name,標識名)和RDN(Relative Distinguished Name,相對標識名)。DN是該條目在整個數中唯一名稱標識。RDN是條目在父節點下唯一名稱標識,如同文件系統中,帶路徑的文件名就是DN,文件名就是RDN.
3.功能模型
LDAP功能模型說明了能夠使用LDAP協議對目錄執行某些操作。在LDAP中共有4類操作(共10種):
(1)查詢類操作,如搜索,比較;
(2)更新類操作,如添加條目,刪除條目,修改條目和修改條目名;
(3)認證類操作,如綁定,解綁定;
(4)其它操作,如放棄和擴展操作。
4.安全模型
LDAP的安全模型主要是基于綁定操作的,綁定操作的不同使得安全機制有所不同。3種:
(1)無認證
(2)基本認證:當使用LDAP的基本安全認證時,客戶進程通過網絡向服務進程發送一個分辨名(DN)和口令來標識自己。服務進程檢查客戶進程發送的分辨名(DN)和密碼是否與目錄中儲存的分辨名(DN)和密碼相匹配,如果匹配則認為通過了認證。
(3)SASL認證:即LDAP提供的在SSL和TLS安全通道基礎上進行的身份認證,包括數字證書的認證。
二.LDAP存儲結構
一棵目錄信息數由若干條目(Entry)組成,每個條目有惟一的標識名DN,一個條目是一個對象,每個條目由多個“屬性(Attribute)”組成,每個屬性由一個類型和一個到多個值組成,每個屬性可以對應一個或多個“值(Value)”。
三.LDAP的基本概念
目錄數據庫是以目錄信息數(Directory Information Tree,DIT)為存儲方式的數型存儲結構。
*常用關鍵字及其對應的含義
【dc】-- Domain Component-- 域名的部分,其格式是將完整的域名分成幾部分,如域名為example.com變成dc=example,dc=com
【uid】-- User ID-- 用戶ID,如“tom”
【ou】-- Organization Unit-- 組織單位,類似于Linux文件系統中的子目錄,是一個容器對象,組織單位可以包含其他各種對象(包括其他組織單元),如“market”
【sn】-- Surname-- 姓,如“Johansson”
【dn】-- Distinguished Name-- 唯一辨別名,類似于Linux文件系統中的絕對路徑,每個對象都有一個唯一的名稱,如“uid=tom,ou=market,dc=example,dc=com”,在一個目錄樹中DN總是唯一的
【rdn】-- Relative dn-- 相對辨別名,類似于文件系統中的相對路徑,它是與目錄樹結構無關的部分,如“uid=ton”或“cn=Thomas Johansson”
【c】-- Country -- 國家,如“CN”或“US”等
【o】-- Organization -- 組織名,如“Example,Inc.”
四.規劃目錄樹
要實現LDAP,首先要規劃目錄樹,一個靈活且易于擴展的目錄樹可以減少后期維護目錄樹的工作量。
通過例子說明。假設有一個名為Example的公司(DNS名為example.com),其組織結構如下:
(1)首先要為目錄樹建立一個“根(Root)”。根是目錄樹的最頂層,后面建立的所有對象都是基于這個根的,所以它也稱為基準DN。它可以有3種格式表示。
*使用X.500標準格式:o=example,c=CN。
*直接使用公司的DNS域名:o=example.com。
*使用公司的DNS域名的不同部分:dc=example,dc=com。
第3種格式更利于以后目錄樹的擴展,如將來Example公司合并了abc公司,之需要將dc=com最為根即可,不需要修改原有的結構。
(2)公司中的部門作為OU,如“ou=market”。OU是目錄樹的分枝節點,下面可以包含其他分枝節點或葉子節點。
(3)用戶是目錄樹的最底層(即葉子節點),可以根據用戶所在的部門將其放置在不同的OU中,使用uid或cn描述都可以,如“uid=tom”或“cn=Thomas Johansson”。
四.LDAP服務的應用領域
由于LDAP所具有的查詢效率高,樹狀的信息管理模式,分布式的部署框架以及靈活而細膩的訪問控制,是LDAP廣泛地用于基礎性,關鍵性信息(如用戶信息,網絡資源信息等)的管理。LDAP的應用主要涉及以下幾種類型。
*信息安全類:數字證書管理,授權管理,單點登錄。
*科學計算類:DCE(Distributed Computing Envirionment,分布式計算環境),UDDI(Universal Description,Discovery and Integration,統一描述,發現和集成協議)。
*網絡資源管理類:MAIL系統,DNS系統,網絡用戶管理,電話號碼薄。
*電子政務資源管理類:內網組織信息服務,電子政務目錄體系,人口基礎庫,法人基礎庫。