定义:基于X.500标准的轻量级目录访问协议,目录是一个为查询、浏览和搜索而优化的数据库,呈树形结构特点:读性能优异,写性能差,没有事务处理、回滚等复杂功能,不适合存储频繁修改的数据LDAP目录服务器是由目录数据库和一套访问协议组成的系统优势:开放的Internet标准,支持跨平台的Internet协议,在业界得到广泛认可,市场上很多产品已经加入了对LDAP的支持,大幅降低了重复开发和对接的成本
SUNONEDirectoryServer |
基于文本数据库的存储,速度快 |
IBMDirectoryServer |
基于DB2的的数据库,速度一般 |
NovellDirectoryServer |
基于文本数据库的存储,速度快,不常用到 |
MicrosoftActiveDirectory |
基于WINDOWS系统用户,对大数据量处理速度一般,但维护容易,生态圈大,管理相对简单 |
OpenLDAP开源的项目,速度很快,但是非主流应用 |
三、LDAP基本模型1、目录树
目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。
条目:每个条目就是一条记录,每个条目有自己的唯一可区别的名称(DN)。
对象类:与某个实体类型对应的一组属性,对象类是可以继承的,这样父类的必须属性也会被继承下来。
属性:描述条目的某个方面的信息,一个属性由一个属性类型和一个或多个属性值组成,属性有必须属性和非必须属性2、几个关键字
用户IDsongtao.xu(一条记录的ID) |
OrganizationUnit |
组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
公共名称,如“ThomasJohansson”(一条记录的名称) |
DistinguishedName |
“uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn=ThomasJohansson” |
信息模型:在LDAP中信息以树状形式组织,基本数据单元是条目,条目由属性构成,属性中存储属性值
命名模型:也称条目定位方式,在LDAP中每个条目均有自己的DN,DN是该条目在整个树中的唯一名称标识,文件系统中,带路径的文件名就是DN
功能模型:LDAP有4类10种操作,查询类操作,如搜索、比较,更新类操作,如添加条目、删除条目、修改条目、修改条目名,认证类操作,如绑定、解绑定,其它操作,如放弃和扩展操作。除了扩展操作,剩余均是LDAP的标准操作
安全模型:LDAP中的安全模型通过身份认证、安全通道和访问控制来实现
4、使用方法改变原有的认证策略,使需要认证的软件均通过LDAP进行认证,认证后信息存储在ADServer中,终端用户在使用公司内部服务时,都需要通过AD服务器的认证
连接到LDAP服务器
绑定到LDAP服务器
在LDAP服务器上执行所需的任何操作
释放LDAP服务器的连接
微软AD是目录数据库的实现方式,LDAP是为访问ActiveDirectory设计的协议,AD是LADP的一个应用实例端口:389、636(ssl)
标签:
