LDAP:简介

fico

9分钟

你好朋友!。 我们正在开始一系列新的文章,希望对您有所帮助。 我们已决定将它们编写给那些想知道与他们一起工作的人,并在不依赖完全专有软件的情况下进行自己的实现的人,或者半自由,半商业的人。

必读是 OpenLDAP软件2.4管理员指南。是的,用英语,因为我们使用的是用莎士比亚语言设计和编写的软件。  我们还强烈建议您阅读 Ubuntu 服务器指南 12.04。,我们提供下载。

现有文档为英文。 我没有发现上面推荐的两种翻译中的任何一种。

本简介中的所有内容均取自Wikipedia或从上述文档中免费翻译成西班牙语。

我们会看到:

摘要定义

从维基百科:

LDAP是“轻型目录访问协议”的缩写,是指应用程序级别的协议,该协议允许访问有序和分布式目录服务以在网络环境中搜索各种信息。 LDAP也被视为可以查询的数据库(尽管其存储系统可能有所不同)。

目录是一组对象,这些对象具有以逻辑和分层方式组织的属性。 最常见的示例是电话簿,其中包含一系列按字母顺序排列的名称(人或组织),每个名称都有一个地址和一个电话号码。 为了更好地理解,它是一本书或文件夹,上面写有人们的姓名,电话号码和地址,并按字母顺序排列。

LDAP目录树有时会反映各种政治,地理或组织边界,具体取决于所选择的模型。 当前的LDAP部署倾向于使用域名系统(DNS)名称来构建更高层次的层次结构。 向下滚动目录时,可能会出现代表人员,组织单位,打印机,文档,人员组的条目,或表示树中给定条目的任何事物(或多个条目)。

通常,它存储身份验证信息(用户和密码)并用于身份验证,尽管可以存储其他信息(用户联系数据,各种网络资源的位置,权限,证书等)。 总之,LDAP是对网络上的一组信息的统一访问协议。

当前版本是LDAPv3,并且在RFC RFC 2251和RFC 2256(LDAP基本文档),RFC 2829(LDAP认证方法),RFC 2830(TLS扩展)和RFC 3377(技术规范)中定义。

一些LDAP实现:

活动目录:是Microsoft(自Windows 2000起)用作其管理域之一的集中信息存储的名称。 目录服务是有关Active Directory中包含的各种对象的信息的结构化存储库,在这种情况下,它们可以是打印机,用户,计算机……它使用不同的协议(主要是 LDAP,DNS,DHCP,Kerberos...)。

在该名称下,实际上存在一个LDAP版本3的架构(可以查询的字段的定义),它允许集成支持该协议的其他系统。 该LDAP存储有关用户,网络资源,安全策略,配置,权限分配等的信息。

Novell目录服务也称为eDirectory,它是Novell的实现,用于管理对网络上不同服务器和计算机上资源的访问。 它基本上由分层和面向对象的数据库组成,该数据库代表每个服务器,计算机,打印机,服务,人员等。 在两者之间通过继承创建访问控制权限。 此实现的优点是它可以在多个平台上运行,因此可以轻松地适应使用多个操作系统的环境。

它是目录结构的先驱,1990年随Novell Netware 4.0版引入。 尽管Microsoft AD越来越流行,但它仍无法与eDirectory及其跨平台功能的可靠性和质量相提并论。

OpenLDAP的:这是协议的免费实现,支持多种方案,因此可用于连接到任何其他LDAP。 它具有自己的许可证,即OpenLDAP公共许可证。 作为平台独立协议,AIX,HP-UX,Mac OS X,Solaris,Windows(2000 / XP)和z / OS包括GNU / Linux和BSD发行版。

OpenLDAP具有四个主要组件:

  • slapd-独立的LDAP守护程序。
  • slurpd-独立的LDAP更新复制守护程序。
  • LDAP协议支持库例程
  • 实用程序,工具和客户。

用户角度的LDAP主要功能

我们可以在目录中存储哪些信息?。 LDAP目录中的信息模型基于 门票。 条目是具有唯一专有名称或“专有名称(DN)”的属性的集合。 DN用于唯一引用该条目。

条目的每个属性都有一个 类型 和一个或多个 valores。 这些类型通常是助记符字符串,例如 cn o“通用名称”代表通用名称,或者 mail 用于电子邮件地址。 值的语法取决于属性的类型。

例如,一个属性 cn 可以包含的值 佛罗多·巴金斯(Frodo Bagins)。 属性 mail 可以有勇气 frodobagins@amigos.cu。 属性 jpge照片 可以包含二进制格式的照片 JPEG格式.

信息如何组织?。 在LDAP中,目录条目以倒置树的形式按层次结构进行组织。 传统上,此结构反映了地理和/或组织的边界或界限。

代表国家的条目显示在树的顶部。 在它们下面是代表州和国家组织的条目。

然后可能有代表组织单位,人员,打印机,文档或我们能想到的其他内容的条目。

下图是使用传统名称的LDAP目录树的示例。

图1

LDAP通过使用称为的特殊属性,可以控制条目所需的属性 对象类。 属性值 对象类 确定 计划规则 o 架构规则 输入必须服从。

我们如何参考这些信息?。 我们通过专有名称引用条目,或者 专有名称,它是由条目本身的名称构成的(称为专有相对名称或 相对专有名称 o RDN),并附上其祖先或祖先的条目的名称。

例如,在上图中,Frodo Bagins条目具有一个 RDN cn = Frodo BaginsDN 完成是 cn = Frodo Bagins,ou =戒指,o =朋友,st =哈瓦那,c = cu.

我们如何获取信息?。 LDAP定义了查询和更新目录所需的操作。 这些操作包括添加和删除条目,修改现有条目以及更改条目名称的操作。

但是,大多数情况下,LDAP用于搜索目录中存储的信息。 搜索操作允许在目录的一部分中搜索符合搜索过滤器中指定条件的条目。 这样,我们可以搜索符合搜索条件的每个条目。

我们如何保护信息免遭未经授权的访问?。 某些目录服务不受保护,任何人都可以查看您的信息。

LDAP为客户端提供了一种机制来验证或确认其对目录服务的身份,以保证访问控制以保护服务器包含的信息。

LDAP还支持完整性和机密性方面的数据安全服务。

我们什么时候应该使用LDAP?

这个问题问得好。 通常,当我们需要集中存储和管理信息以及通过基于标准的方法访问信息时,必须使用目录服务。

我们在商业和工业环境中发现的信息类型的一些示例:

  • 机器认证
  • 用户认证
  • 系统用户和组
  • 地址簿
  • 组织代表
  • 资源追踪
  • 电话信息仓库
  • 用户资源管理
  • 电邮地址搜寻
  • 应用程序配置存储
  • PBX电话工厂配置仓库
  • 等等…

有几个分布式架构文件-分布式架构文件– 基于标准。然而,当我们是 LDAP 专家时,我们始终可以创建自己的架构规范。 

什么时候不应该使用LDAP?

当我们意识到自己是 扭曲 或者通过强制我们的LDAP完成我们需要的操作。 在这种情况下,可能需要重新设计。 或者,如果我们需要一个应用程序来使用和操作数据。

我们计划安装和配置哪些服务和软件?

  • 目录服务或 目录服务 根据 OpenLDAP的
  • 服务 NTP, DNS y DHCP 独立
  • 整合 桑巴 到LDAP
  • 可能我们将发展整合 LDAP的 y Kerberos的
  • 使用Web应用程序管理目录 Ldap客户经理.

朋友们,今天就是这样!

咨询来源:

  • https://wiki.debian.org/LDAP
  • OpenLDAP软件2.4管理员指南
  • Ubuntu 12.04服务器指南