LDAP简介

LDAP简介:

• LDAP是LightWeight Directory Access Protocol的简称，是一种轻量目录访问协议。

• 它是基于X.500标准的，可以根据需要定制。与X.500不同，LDAP支持tcp/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAP man RFC网页中找到。

• 简单来说，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用，不过根据组织者的需要，他可以做到更加强大。

• LDAP提供并实现目录服务的信息服务，目录服务是一种特殊的数据库系统，对于数据的读取、浏览、搜索有很好的效果。目录服务一般用来包含基于属性的描述性信息并支持精细复杂的过滤功能，
  但OpenLDAP目录服务不支持通用数据库的大量更新操作所需要的事务管理或回滚策略等。

• LDAP具有两个标准:分别是X.500和LDAP。其中OpenLDAP是基于X.500标准的，而且去除了X.500复杂的功能并且可以根据自我需求定制额外扩展功能，但与X.500也有不同，例如OpenLDAP支持TCP/IP协议等，目前TCP/IP是Internet上访问互联网的协议。

LDAP的功能:

• 实现账号统一集中管理
• 权限控制策略管理
• 密码控制策略管理
• 密码审计管理
• 主机控制管理
• 同步机制管理
• TLS/SASL加密传输
• 高可用负载均衡架构
• 自定义schema
• 各种集中平台账号集中管理

LDAP目录服务:

• 目录是一个为查询、浏览和搜索而优化的专业分布式数据库，它呈现树状组织数据，就和linux/Unix系统中的文件目录一样。

• 目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适合存储修改频繁的数据，所以目录天生是用来查询的。

• 目录服务是由目录数据库和一套访问协议组成的系统。类似以下的信息适合存在目录中:

* 企业员工信息，如姓名、电话、邮箱等* 客户的联系信息* 公用证书和安全密钥* 软件包的配置信息

常用的目录服务软件有Active Directory、OpenLDAP、ApacheDS、Red Hat Directory Service。

LDAP基本模型:

• DIT:Directory InfORMation Tree
  

LDAP数据组织的方式:

• DIT:Directory Information Tree
  

LDAP认证机制:

1. 匿名认证:即不对用户进行认证，该方法仅对完全公开的方式使用。

2. 基本认证:通过用户名和密码进行身份识别，又分为简单密码和MD5密码认证。
   

3. SASL认证:即对LDAP提供的SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。

LDAP的基本概念:

• 总体逻辑关系:
  

Entry:

条目也叫记录项，是LDAP中最基本的颗粒，就像数据库中的记录。通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的。

• DN:每一个条目都有一个唯一的表示名（distinguished Name,DN）如上图中一个dn:“cn=baby,ou=marketing,ou=people,dc=mydomin,dc=org”。
  通过DN的层次结构型语法结构，可以方便的显示出条目在树中的位置，通常用于检索。
• RDN:相对DN,一般指DN逗号最左边的部分，如cn=baby。
• RootDN:RootDN通常与RootPW同事出现，特指管理LDAP中信息的最高权限用户。
• Base DN:LDAP目录树的最顶部就是根，特就是所谓的“Base DN”,如“dc=mydomin,dc=org"。

Schema:

• 对象型（ObjectClass）、属性类型（AttributeType）、语法（Syntax）分别约定了条目、属性、值，他们之间的关系如下图:
• 所以这些构成了模式（Schema）–对象类的集合。条目数据在导入时通常需要接受模式检查，它确保了目录中所有的条目数据结构都是一致的。
  

来源地址：https://blog.csdn.net/weixin_53273474/article/details/128472735