什么是LDAP?

keiki — Fri, 01 Sep 2006 11:37:00 GMT

LDAP的英文全�U�是Lightweight Directory Access Protocol�Q�一般都��U�Cؓ(f��)LDAP。它是基于X.500标准的，但是��单多了�ƈ且可以根据需要定制。与X.500不同�Q�LDAP支持TCP/IP�Q�这对访问Internet是必��ȝ��。LDAP 的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC�|�页中找到。现在LDAP技术不仅发展得很快而且也是�Ȁ动�h心的。在企业范围内实现LDAP可以让运行在几乎所有计��机�q�_��上的所有的应用�E�序从LDAP目录中获取信息。LDAP目录中可以存储各�U�类型的数据�Q�电(sh��)子邮件地址、邮件�\�׃��息、�h力资源数据、公用密匙、联�p�M�h列表�Q�等�{�。通过把LDAP目录作�ؓ(f��)�pȝ��集成中的一个重要环节，可以��化员工在企业内部查询信息的步骤，甚至�q�主要的数据源都可以攑֜��M��地方�?

LDAP目录的优势�?

如果需要开发一�U�提供公�׃��息查询的�pȝ��一般的设计�Ҏ(gu��)��可能是采用基于WEB的数据库设计方式�Q�即前端使用��览器而后端��用WEB服务器加上关�p�L��据库。后端在Windows的典型实现可能是Windows NT + IIS + Acess 数据库或者是SQL服务器，IIS和数据库之间通过ASP技术��用ODBC�q�行�q�接�Q�达到通过填写表单查询数据的功能；

后端在Linux�pȝ��的典型实现可能是Linux+ Apache + postgresql�Q�Apache和数据库之间通过PHP3提供的函数进行连接。��用上�q�方法的�~�点是后端关�p�L��据库的引入导致系�l�整体的性能降低和系�l�的��理比较�J�琐�Q�因为需要不断的�q�行数据�c�d��的验证和事务的完整性的��认�Q��ƈ且前端用户对数据的控制不够灵�z�，用户权限的设�|�一般只能是讄��在表一�U�而不是设�|�在记录一�U�。�?

目录服务的推��Z��要是解决上述数据库中存在的问题。目录与关系数据库相��|��是指��h��描述性的��Z��属性的记录集合�Q�但它的数据�c�d��主要是字�W�型�Q��ؓ(f��)了检索的需要添加了BIN�Q�二�q�制数据�Q�、CIS�Q�忽略大��写�Q�、CES �Q�大��写敏感�Q�、TEL�Q�电(sh��)话型�Q�等语法�Q�Syntax�Q�，而不是关�p�L��据库提供的整数、��Q�Ҏ(gu��)��、日期、货币等�c�d��Q�同样也不提供象关系数据库中普遍包含的大量的函数�Q�它主要面向数据的查询服务（查询和修�Ҏ(gu��)��作比一般是大于10:1�Q�，不提供事务的回滚�Q�rollback�Q�机�Ӟ��它的数据修改使用��单的锁定机制实现All-or-Nothing�Q�它的目标是快速响应和大容量查询�ƈ且提供多目录服务器的信息复制功能�?

现在该说说LDAP目录到底有些什么优势了。现在LDAP的流行是很多因数共同作用的结果。可能LDAP最大的优势是：(x��)可以在�Q何计��机�q�_��上，用很�Ҏ(gu��)��获得的而且数目不断增加的LDAP的客��L(f��ng)��E�序讉K��LDAP目录。而且也很�Ҏ(gu��)��定制应用�E�序为它加上LDAP的支持。�?

LDAP协议是跨�q�_��的和标准的协议，因此应用�E�序��׃��用�ؓ(f��)LDAP目录攑֜�什么样的服务器上操心了。实际上�Q�LDAP 得到了业界的�q�泛认可�Q�因为它是Internet的标准。��商都很愿意在产品中加入对LDAP的支持，因�ؓ(f��)他们�Ҏ(gu��)��不用考虑另一端（客户端或服务端）是怎么��L(f��ng)��。LDAP服务器可以是��M��一个开发源代码或商用的LDAP目录服务器（或者还可能是具有LDAP界面的关�p�d��数据库）�Q�因为可以用同样的协议、客��L(f��ng)��q�接软�g包和查询命��o与LDAP服务器进行交互。与LDAP不同的是�Q�如果��Y件��商想在��Y件��品中集成对DBMS的支持，那么通常都要�Ҏ(gu��)��一个数据库服务器单独定制。不象很多商用的关系型数据库�Q�你不必为LDAP的每一个客��L(f��ng)��q�接或许可协议付费大多数的LDAP服务器安装�v来很��单，也容易维护和优化。�?

LDAP服务器可以用“推”或“拉”的�Ҏ(gu��)��复制部分或全部数据，例如�Q�可以把数据推”到�q�程的办公室�Q�以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配�|�。如果要在DBMS中��用相同的复制功能�Q�数据库产商��׃��(x��)要你支付额外的费用，而且也很隄��理。�?

LDAP允许你根据需要��用ACI�Q�一般都�U�Cؓ(f��)ACL或者访问控制列表）控制�Ҏ(gu��)��据读和写的权限。例如，讑֤��理员可以有权改变员工的工作地点和办公室��L(f��ng)��Q�但是不允许改变记录中其它的域。ACI可以�Ҏ(gu��)��谁访问数据、访问什么数据、数据存在什么地方以及其它对数据�q�行讉K��控制。因��些都是由LDAP目录服务器完成的�Q�所以不用担心在客户端的应用�E�序上是否要�q�行安全��查�?

LDAP�Q�Lightweight Directory Acess Protocol�Q�是目录服务在TCP/IP上的实现�Q�RFC 1777 V2版和RFC 2251V3版）。它是对X500的目录协议的�U�L��Q�但是简化了实现�Ҏ(gu��)��Q�所以称��量��的目录服务。在LDAP中目录是按照�?w��i)型�l�构�l�织�Q�目录由条目�Q�Entry�Q�组成，条目相当于关�p�L��据库中表的记录；条目是具有区别名DN�Q�Distinguished Name�Q�的属性（Attribute�Q�集合，DN相当于关�p�L��据库表中的关键字�Q�PrimaryKey�Q�；属性由�c�d��Q�Type�Q�和多个��|��Values�Q�组成，相当于关�p�L��据库中的域（Field�Q�由域名和数据类型组成，只是��Z��方便��索的需要，LDAP中的Type可以有多个Value�Q�而不是关�p�L��据库中�ؓ(f��)降低数据的冗余性要求实现的各个域必��L��不相关的。LDAP中条目的�l�织一般按照地理位�|�和�l�织关系�q�行�l�织�Q�非常的直观。LDAP把数据存攑֜�文�g中，为提高效率可以��用基于烦引的文�g数据库，而不是关�p�L��据库。LDAP协议集还规定了DN的命名方法、存取控制方法、搜索格式、复制方法、URL格式、开发接口等LDAP对于�q�样存储�q�样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新�?

例如�Q�这些信息存储在LDAP目录中是十分有效的：(x��)

l 公司员工的电(sh��)话号码簿和组�l�结构图

l 客户的联�p�M��息�?

l 计算机管理需要的信息�Q�包括NIS映射、email假名�Q�等�{��?

l 软�g包的配置信息

l 公用证书和安全密匙�?

什么时候该用LDAP存储数据

大多数的LDAP服务器都��密集型的操作�q�行专门的优化。因此，当从LDAP服务器中��d��数据的时候会(x��)比从专门为OLTP优化的关�p�d��数据库中��d��数据快一个数量��。也是因��Z��门�ؓ(f��)�ȝ��性能�q�行优化�Q�大多数的LDAP目录服务器�ƈ不适合存储需要需要经常改变的数据。例如，用LDAP服务器来存储�?sh��)话��L(f��ng)��是一个很好的选择�Q�但是它不能作�ؓ(f��)�?sh��)子商务站点的数据库服务器。�?

如果下面每一个问题的�{�案都是“是”，那么把数据存在LDAP中就是一个好��L��。�?

l 需要在��M��q�_��上都能读取数据吗�Q��?

l 每一个单独的记录��Ҏ(gu��)��不是每一天都只有很少的改变？

l 可以把数据存在��^面数据库�Q�flat database�Q�而不是关�p�d��数据库中吗？换句话来��_(d��)��也就是不��什么范式不范式的，把所有东襉K��存在一个记录中�Q�差不多只要满��W�一范式�Q�。�?

最后一个问题可能会(x��)唬住一些�h�Q�其实用�q�面数据库去存储一些关�p�d��的数据也是很一般的。例如，一条公司员工的记录��可以包含经理的��d��名。用LDAP来存储这�c�M��息是很方便的。一个简单的判断�Ҏ(gu��)��Q�如果可以把保数据存在一张张的卡片里�Q�就可以很容易地把它存在LDAP目录里。�?

安全和访问控制�?

LDAP提供很复杂的不同层次的访问控制或者ACI。因�q�些讉K��可以在服务器端控�Ӟ��q�比用客��L(f��ng)��的��Y件保证数据的安全可安全多了。�?

用LDAP的ACI�Q�可以完成：(x��)

l �l�予用户改变他们自己的电(sh��)话号码和家庭地址的权限，但是限制他们对其它数据（如，职务名称�Q�经理的��d��名，�{�等�Q�只有“只诠Z��权限。�?

l �l�予“HR-admins"�l�中的所有�h权限以改变下面这些用��L(f��ng)��信息�Q�经理、工作名�U�、员工号、部门名�U�和部门受��?
但是对其它域没有写权限。�?

l ��止��M��人查询LDAP服务器上的用户口令，但是可以允许用户改变他或她自��q��口��o。�?

l �l�予�l�理讉K��他们上��的家庭电(sh��)话的只读权限�Q�但是禁止其他�h有这个权限。�?

l �l�予“host-admins"�l�中的�Q何�h创徏、删除和�~�辑所有保存在LDAP服务器中的与计算��Z��机有关的信息

l 通过Web�Q�允许“foobar-sales"�l�中的成员有选择地给予或��止他们自己��d��一部分客户联系数据的读权限。这��允�总�们把客户联系信息下蝲到本地的�W�记本电(sh��)脑或个�h数字助理�Q�PDA�Q�上。（如果销售�h员的软�g都支持LDAP,�q�将非常有用�Q��?

l 通过Web�Q�允许组的所有者删除或��d��他们拥有的组的成员。例如：(x��)可以允许销售经理给予或��止销售�h员改变Web��늚�权限。也可以允许邮�g假名�Q�mail aliase�Q�的所有者不�l�过IT技术�h员就直接从邮件假名中删除或添加用戗��?
“公用”的邮�g列表应该允许用户从邮件假名中��d��或删除自己（但是只能是自己）。也可以对IP地址或主机名加以限制。例如，某些域只允许用户IP地址�?92.168.200.*开头的有读的权限，或者用户反向查找DNS得到的主机名必须�?.foobar.com。�?

LDAP目录�?w��i)的�l�构

LDAP目录以树(w��i)状的层次�l�构来存储数据。如果你对自��向下的DNS�?w��i)或UNIX文�g的目录树(w��i)比较熟�?zh��n)��Q�也��很�Ҏ(gu��)��掌握LDAP目录�?w��i)这个概念了。就象DNS的主机名那样�Q�LDAP目录记录的标识名�Q�Distinguished Name�Q�简�U�DN�Q�是用来��d��单个记录�Q�以及回溯到�?w��i)的�剙��。后面会(x��)做详�l�地介绍。�?

��Z��么要用层�ơ结构来�l�织数据呢？原因是多斚w��的。下面是可能遇到的一些情况：(x��)

l 如果你想把所有的��国客户的联�p�M��息都“推”到位于到西雅图办公室（负责营销�Q�的LDAP服务器上�Q�但是你不想把公司的资�񔽎�理信息“推”到那里。�?

l 你可能想�Ҏ(gu��)��目录�?w��i)的�l�构�l�予不同的员工组不同的权限。在下面的例子里�Q�资产管理组对“asset-mgmt"部分有完全的讉K��权限�Q�但是不能访问其它地斏V��?

l 把LDAP存储和复制功能结合�v来，可以定制目录�?w��i)的�l�构以降低对WAN带宽的要求。位于西雅图的营销办公室需要每分钟更新的美国销售状�늚�信息�Q�但是欧�z�的销售情况就只要每小时更��C��ơ就行了。�?

刨根问底�Q�基准DN

LDAP目录�?w��i)的最�剙��是根，也就是所谓的“基准DN"。基准DN通常使用下面列出的三�U�格式之一。假定我在名为FooBar的电(sh��)子商务公司工作，�q�家公司在Internet上的名字是foobar.com。�?

o="FooBar, Inc.", c=US

�Q�以X.500格式表示的基准DN�Q��?

在这个例子中�Q�o=FooBar, Inc. 表示�l�织名，在这里就是公司名的同义词。c=US 表示公司的总部在美国。以前，一般都用这�U�方式来表示基准DN。但是事物��L��在不断变化的�Q�现在所有的公司都已�l�（或计划）上Internet上。随着Internet的全球化�Q�在基准DN中��用国家代码很�Ҏ(gu��)��让�h产生��h��。现在，X.500格式发展成下面列出的两种格式。�?

o=foobar.com

�Q�用公司的Internet地址表示的基准DN�Q��?

�q�种格式很直观，用公司的域名作�ؓ(f��)基准DN。这也是现在最常用的格式。�?

dc=foobar, dc=com

�Q�用DNS域名的不同部分组成的基准DN�Q��?

��p��上面那一�U�格式，�q�种格式也是以DNS域名为基��的，但是上面那种格式不改变域名（也就更易读）�Q�而这�U�格式把域名�Q�foobar.com分成两部分 dc=foobar, dc=com。在理论上，�q�种格式可能�?x��)更灉|��一点，但是对于最�l�用��h��说也更难记忆一炏V��考虑一下foobar.com�q�个例子。当foobar.com和gizmo.com合�ƈ之后�Q�可以简单的把“dc=com"当作�?
准DN。把新的记录攑ֈ�已经存在的dc=gizmo, dc=com目录下，�q�样��q��化了很多工作�Q�当�Ӟ��如果foobar.com和wocket.edu合�ƈ�Q�这个方法就不能用了�Q�。如果LDAP服务器是新安装的�Q�我��你��用这�U�格式。再��h��意一下，如果你打��用活�?
目录�Q�Actrive Directory�Q�，Microsoft已经限制你必��M��用这�U�格式。�?

更上一层楼�Q�在目录�?w��i)中怎么�l�织数据

在UNIX文�g�pȝ��中，最��层是根目录�Q�root�Q�。在根目录的下面有很多的文�g和目录。象上面介绍的那��P��LDAP目录也是用同��L(f��ng)��Ҏ(gu��)��l�织��h��的。�?

在根目录下，要把数据从逻辑上区分开。因为历史上�Q�X.500�Q�的原因�Q�大多数LDAP目录用OU从逻辑上把数据分开来。OU表示“Organization Unit"�Q�在X.500协议中是用来表示公司内部的机构：(x��)销售部、胦务部�Q�等�{�。现在LDAP�q�保留ou=�q�样的命名规则，但是扩展了分�cȝ��范围�Q�可以分�c�Mؓ(f��)�Q�ou=people, ou=groups, ou=devices�Q�等�{�。更低一�U�的OU有时用来做更�l�的归类。例如：(x��)LDAP目录�?w��i)（不包括单独的记录�Q�可能会(x��)是这��L(f��ng)��Q��?

dc=foobar, dc=com

ou=customers

ou=asia

ou=europe

ou=usa

ou=employees

ou=rooms

ou=groups

ou=assets-mgmt

ou=nisgroups

ou=recipes

单独的LDAP记录

DN是LDAP记录��的名字

在LDAP目录中的所有记录项都有一个唯一的“Distinguished Name"�Q�也��是DN。每一个LDAP记录��的DN是由两个部分�l�成的：(x��)相对DN�Q�RDN�Q�和记录在LDAP目录中的位置。�?

RDN是DN中与目录�?w��i)的�l�构无关的部分。在LDAP目录中存储的记录��w��要有一个名字，�q�个名字通常存在cn�Q�Common Name�Q�这个属性里。因为几乎所有的东西都有一个名字，在LDAP中存储的对象都用它们的cn��g��为RDN的基��。如果我把最喜欢的吃燕麦�_�食谱存��Z��个记录，我就�?x��)用cn=Oatmeal Deluxe作�ؓ(f��)记录��的RDN。�?

l 我的LDAP目录的基准DN是dc=foobar,dc=com

l 我把自己的食�׃��为LDAP的记录项存在ou=recipes

l 我的LDAP记录��的RDN设�ؓ(f��)cn=Oatmeal Deluxe

上面�q�些构成了燕麦粥食谱的LDAP记录的完整DN。记住，DN的读法和DNS��L��名类伹{��下面就是完整的DN�Q��?

cn=Oatmeal Deluxe,ou=recipes,dc=foobar,dc=com

举一个实际的例子来说明DN

现在为公司的员工讄��一个DN。可以用��Z��cn或uid�Q�User ID�Q�，作�ؓ(f��)典型的用户帐受��例如，FooBar的员工Fran Smith
�Q�登录名�Q�fsmith�Q�的DN可以��Z��面两�U�格式：(x��)

uid=fsmith,ou=employees,dc=foobar,dc=com

�Q�基于登录名�Q��?

LDAP�Q�以及X.500�Q�用uid表示“User ID"�Q�不要把它和UNIX的uid��h؜淆了。大多数公司都会(x��)�l�每一个员工唯一的登录名�Q�因此用�q�个办法可以很好��C��存员工的信息。你不用担心以后�q�会(x��)有一个叫Fran Smith的加入公司，如果Fran改变了她的名字（�l�婚�Q�离婚？或宗教原因？�Q�，也用不着改变LDAP记录��的DN。�?

cn=Fran Smith,ou=employees,dc=foobar,dc=com

�Q�基于姓名）

可以看到�q�种格式使用了Common Name�Q�CN�Q�。可以把Common Name当成一个�h的全名。这�U�格式有一个很明显的缺点就是：(x��)如果名字改变了，LDAP的记录就要从一个DN转移到另一个DN。但是，我们应该��可能地避免改变一个记录项的DN。�?

定制目录的对象类型�?

你可以用LDAP存储各种�c�d��的数据对象，只要�q�些对象可以用属性来表示�Q�下面这些是可以在LDAP中存储的一些信息：(x��)

l 员工信息�Q�员工的姓名、登录名、口令、员工号、他的经理的��d��名，邮�g服务器，�{�等。�?

l 物品跟踪信息�Q�计��机名、IP地址、标�{�、型受��所在位�|�，�{�等。�?

l 客户联系列表�Q�客��L(f��ng)��公司名、主要联�p�M�h的电(sh��)话、传真和�?sh��)子邮�g�Q�等�{�。�?

l �?x��)议厅信息�?x��)�?x��)议厅的名字、位�|�、可以坐多少人、电(sh��)话号码、是否有投媄机。�?

l 食谱信息�Q�菜的名字、配料、烹调方法以及准备方法。�?

因�ؓ(f��)LDAP目录可以定制成存储�Q何文本或二进制数据，到底存什么要�׃��自己军_��。LDAP目录用对象类型（object classes�Q�的概念来定义运行哪一�cȝ��对象使用什么属性。在几乎所有的LDAP服务器中�Q�你都要�Ҏ(gu��)��自己的需要扩展基本的LDAP目录
的功能，创徏新的对象�c�d��或者扩展现存的对象�c�d��。�?

LDAP目录以一�p�d��“属性对”的形式来存储记录项�Q�每一个记录项包括属性类型和属性��|��q�与关系型数据库用行和列来存取数据有�Ҏ(gu��)��的不同）。下面是我存在LDAP目录中的一部分食谱记录�Q��?

dn: cn=Oatmeal Deluxe, ou=recipes, dc=foobar, dc=com

cn: Instant Oatmeal Deluxe

recipeCuisine: breakfast

recipeIngredient: 1 packet instant oatmeal

recipeIngredient: 1 cup water

recipeIngredient: 1 pinch salt

recipeIngredient: 1 tsp brown sugar

recipeIngredient: 1/4 apple, any type

��h��意上面每一�U�配料都作�ؓ(f��)属性recipeIngredient倹{��LDAP目录被设计成象上面那样�ؓ(f��)一个属性保存多个值的�Q�而不是在每一个属性的后面用逗号把一�p�d��值分开。�?

因�ؓ(f��)用这��L(f��ng)��方式存储数据�Q�所以数据库��有很大的灵�z�L��，不必为加入一些新的数据就重新创徏表和索引。更重要的是�Q�LDAP目录不必��p��内存或硬盘空间处理“空”域�Q�也��是��_(d��)��实际上不使用可选择的域也不�?x��)花费你��M��资源。�?

作�ؓ(f��)例子的一个单独的数据��?

让我们看看下面这个例子。我们用Foobar, Inc.的员工Fran Smith的LDAP记录。这个记录项的格式是LDIF�Q�用�?
导入和导出LDAP目录的记录项。�?

dn: uid=fsmith, ou=employees, dc=foobar, dc=com

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

objectclass: foobarPerson

uid: fsmith

givenname: Fran

sn: Smith

cn: Fran Smith

cn: Frances Smith

telephonenumber: 510-555-1234

roomnumber: 122G

o: Foobar, Inc.

mailRoutingAddress: fsmith@foobar.com

mailhost: mail.foobar.com

userpassword: {crypt}3x1231v76T89N

uidnumber: 1234

gidnumber: 1200

homedirectory: /home/fsmith

loginshell: /usr/local/bin/bash

属性的值在保存的时候是保留大小写的�Q�但是在默认情况下搜索的时候是不区分大��写的。某些特�D�的属性（例如�Q�password�Q�在搜烦的时候需要区分大��写。�?

让我们一点一点地分析上面的记录项。�?

dn: uid=fsmith, ou=employees, dc=foobar, dc=com

�q�是Fran的LDAP记录��的完整DN�Q�包括在目录�?w��i)中的完整�\径。LDAP�Q�和X.500�Q��用uid�Q�User ID�Q�，不要把它和UNIX的uid��h؜淆了。�?

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

objectclass: foobarPerson

可以��Z�Q何一个对象根据需要分配多个对象类型。person对象�c�d��要求cn�Q�common name�Q�和sn�Q�surname�Q�这两个域不能�ؓ(f��)�I�。persion对象�c�d��允许有其它的可选域�Q�包括givenname、telephonenumber�Q�等�{�。organizational Person�l�person加入更多的可选域�Q�inetOrgPerson又加入更多的可选域�Q�包括电(sh��)子邮件信息）。最后，foobarPerson是�ؓ(f��)Foobar定制的对象类型，加入了很多定制的属性。�?

uid: fsmith

givenname: Fran

sn: Smith

cn: Fran Smith

cn: Frances Smith

telephonenumber: 510-555-1234

roomnumber: 122G

o: Foobar, Inc.

以前说过了，uid表示User ID。当看到uid的时候，��在脑袋里想一想“login"。�?

��h��意CN有多个倹{��就象上面介�l�的�Q�LDAP允许某些属性有多个倹{��ؓ(f��)什么允许有多个值呢�Q�假定你在用公司的LDAP服务器查找Fran的电(sh��)话号码。你可能只知道她的名字叫Fran�Q�但是对人力资源处的人来说她的正式名字叫做Frances。因��Z��存了她的两个名字�Q�所以用��M��一个名字检索都可以扑ֈ�Fran的电(sh��)话号码电(sh��)子邮件和办公戉K��P��{�等。�?

mailRoutingAddress: fsmith@foobar.com

mailhost: mail.foobar.com

��p��现在大多数的公司都上�|�了�Q�Foobar用Sendmail发送邮件和处理外部邮�g路由信息。Foobar把所有用��L(f��ng)��邮�g信息都存在LDAP中。最新版本的Sendmail支持�q�项功能。�?

Userpassword: {crypt}3x1231v76T89N

uidnumber: 1234

gidnumber: 1200

gecos: Frances Smith

homedirectory: /home/fsmith

loginshell: /usr/local/bin/bash

注意�Q�Foobar的系�l�管理员把所有用��L(f��ng)��口��o映射信息也都存在LDAP中。FoobarPerson�c�d��的对象具有这�U�能力。再注意一下，用户口��o是用UNIX的口令加密格式存储的。UNIX的uid在这里�ؓ(f��)uidnumber。提醒你一下，关于如何在LDAP中保存NIS信息�Q�有完整的一份RFC。在以后的文章中我会(x��)谈一谈NIS的集成。�?

LDAP复制

LDAP服务器可以��用基于“推”或者“拉”的技术，用简单或��Z��安全证书的安全验证，复制一部分或者所有的数据。�?

例如�Q�Foobar有一个“公用的”LDAP服务器，地址为ldap.foobar.com�Q�端口�ؓ(f��)389。Netscape Communicator的电(sh��)子邮件查询功能、UNIX的“ph"命��o要用到这个服务器�Q�用户也可以在�Q何地�Ҏ(gu��)��询这个服务器上的员工和客戯��p�M��息。公司的主LDAP服务器运行在相同的计��机上，不过端口��h��1389。�?

你可能即不想让员工查询资产管理或食谱的信息，又不惌��信息技术�h员看到整个公司的LDAP目录。�ؓ(f��)了解册��个问题，Foobar有选择地把子目录树(w��i)从主LDAP服务器复制到“公用”LDAP服务器上�Q�不复制需要隐藏的信息。�ؓ(f��)了保持数据始�l�是最新的�Q�主目录服务器被讄��成即时“推”同步。这些种�Ҏ(gu��)��主要是�ؓ(f��)了方便，而不是安全，
因�ؓ(f��)如果有权限的用户��x��询所有的数据�Q�可以用另一个LDAP端口。�?

假定Foobar通过从奥克兰到欧�z�的低带宽数据的�q�接用LDAP��理客户联系信息。可以徏立从ldap.foobar.com:1389 到munich-ldap.foobar.com:389的数据复�Ӟ��象下面这��P��(x��)

periodic pull: ou=asia,ou=customers,o=sendmail.com

periodic pull: ou=us,ou=customers,o=sendmail.com

immediate push: ou=europe,ou=customers,o=sendmail.com

“拉”连接每15分钟同步一�ơ，在上面假定的情况下��够了。“推”连接保证�Q何欧�z�的联系信息发生了变化就立即被“推”到Munich。用上面的复制模式，用户��Z��讉K��数据需要连接到哪一台服务器呢？在Munich的用户可以简单地�q�接到本地服务器。如果他们改变了数据�Q�本地的LDAP服务器就�?x��)把�q�些变化传到主LDAP服务器。然后，主LDAP服务器把�q�些变化“推”回本地的“公用”LDAP服务器保持数据的同步。这�Ҏ(gu��)��地的用户有很大的好处�Q�因为所有的查询�Q�大多数是读�Q�都在本地的服务器上�q�行�Q�速度非常快。当需要改变信息的时候，最�l�用户不需要重新配�|�客��L(f��ng)��的��Y�Ӟ��因�ؓ(f��)LDAP目录服务器�ؓ(f��)他们完成了所有的数据交换工作

keiki 2006-09-01 19:37 发表评论

亚洲AV成人一区二区三区观看,国产亚洲精品免费,亚洲日本一区二区

什么是LDAP?