二、ldap基本模型
對於公司中有多個it系統,每個系統都需要賬號密碼時,工作起來就是很麻煩的問題。應用使用者統一身份認證就可以很好的解決這個問題,使用ldap就是目前乙個很好的處理辦法。
ldap(light directory access portocol)是基於tcp/ip協議的輕量目錄訪問協議,是internet上目錄服務的通用訪問協議。ldap的出現簡化了x.500目錄的複雜度,降低了開發成本,是x.500標準的目錄訪問協議dap的子集,同時也作為ietf的乙個正式標準。ldap的核心規範在rfc中都有定義,所有與ldap相關的rfc都可以在ldapman rfc網頁中找到。與ldap一樣提供類似的目錄服務軟體還有apacheds、active directory、red hat directory service 。
從上文中可以看出,ldap其實是一種目錄服務。那目錄是什麼呢?目錄服務又是什麼呢?
ldap是開放的internet標準,支援跨平台的internet協議,在業界中得到廣泛認可的,並且市場上或者開源社群上的大多產品都加入了對ldap的支援,因此對於這類系統,不需單獨定製,只需要通過ldap做簡單的配置就可以與伺服器做認證互動。「簡單粗暴」,可以大大降低重複開發和對接的成本。
每乙個系統、協議都會有屬於自己的模型,ldap也不例外,在了解ldap的基本模型之前我們需要先了解幾個ldap的目錄樹概念:
目錄樹:在乙個目錄服務系統中,整個目錄資訊集可以表示為乙個目錄資訊樹,樹中的每個節點是乙個條目。
條目(entry):每個條目就是一條記錄項,每個條目有自己的唯一可區別的名稱(distinguished name ,dn)。
dn:每乙個條目都有乙個唯一的標識名(distinguished name ,dn),通過dn的層次型語法結構,可以方便地表示出條目在ldap樹中的位置,通常用於檢索。
在ldap中每個條目均有自己的dn和rdn。dn是該條目在整個樹中的唯一名稱標識,rdn是條目在父節點下的唯一名稱標識,如同檔案系統中,帶路徑的檔名就是dn,檔名就是rdn屬性(attribute):描述條目的某個方面的資訊,每個條目都可以有很多屬性。乙個屬性由乙個屬性型別和乙個或多個屬性值組成,屬性有必須屬性和非必須屬性。
物件類:與某個實體型別對應的一組屬性,物件類是可以繼承的,這樣父類的必須屬性也會被繼承下來。
關鍵字屬性全稱含義
dndistinguished name
「uid=songtao.xu,ou=oa組,dc=example,dc=com」,一條記錄的位置(唯一)
rdnrelative dn
相對辨別名,類似於檔案系統中的相對路徑,它是與目錄樹結構無關的部分,如「uid=tom」或「cn= thomas johansson」
dcdomain component
網域名稱的部分,其格式是將完整的網域名稱分成幾部分,如網域名稱為example.com變成dc=example,dc=com
(一條記錄的所屬位置)
ouorganization unit
組織單位,組織單位可以包含其他各種物件(包括其他組織單元),如「oa組」(一條記錄的所屬組織)
cncommon name
公共名稱,如「thomas johansson」(一條記錄的名稱)
uiduser id
使用者id songtao.xu(一條記錄的id)
snsurname
姓,如「許」
總結一下ldap樹形資料庫如下:
1. dn :一條記錄的詳細位置 dc :一條記錄所屬區域
(哪一顆樹)
2. ou :一條記錄所屬組織(哪乙個分支)
3. cn/uid:一條記錄的名字/
id(哪乙個果實)
4.ldap目錄樹的最頂部就是根,也就是所謂的「基準dn"。
模型
描述資訊模型
在ldap中資訊以樹樁方式組織,在樹狀資訊中的基本資料單元是條目,而每個條目由屬性構成,屬性中儲存有屬性值
命名模型
定義了如何在目錄系統中組織資料以及如何從目錄系統中查詢資料
功能模型
安全模型
提供乙個框架,保護目錄中的資訊不被非法訪問,主要通過 身份認證、安全通道和訪問控制來實現
表現方法描述身份認證
在ldap中提供三種認證機制,即匿名、基本認證和sasl(****** authentication and secure layer)認證。匿名認證即不對使用者進行認證,該方法僅對完全公開的方式適用;基本認證均是通過使用者名稱和密碼進行身份識別,又分為簡單密碼和摘要密碼認證;sasl認證即ldap提供的在ssl和tls安全通道基礎上進行的身份認證,包括數字證書的認證。
通訊安全
在ldap中提供了基於ssl/tls的通訊安全保障。ssl/tls是基於pki資訊保安技術,是目前internet上廣泛採用的安全服務。ldap 通過starttls方式啟動tls服務,可以提供通訊中的資料保密性、完整性保護;通過強制客戶端證書認證的tls服務,同時可以實現對客戶端身份和服 務器端身份的雙向驗證。
訪問控制
雖然ldap目前並無訪問控制的標準,但從一些草案中或是事實上ldap產品的訪問控制情況,我們不難看出:ldap訪問控制異常的靈活和豐富,在 ldap中是基於訪問控制策略語句來實現訪問控制的,這不同於現有的關係型資料庫系統和應用系統,它是通過基於訪問控制列表來實現的,無論是基於組模式或 角色模式,都擺脫不了這種限制。
Mysql基礎內容簡單介紹
use 資料庫名字 選中資料庫 select from admin 查詢資料庫,admin位置也可以是 資料表 的名字 select from admin where 具體索引,例如 admin 1 creat database test 建立資料庫 show tables 檢視資料庫中的資料表基礎...
LDAP概念和原理介紹
ldap概念和原理介紹 相信對於許多的朋友來說,可能聽說過ldap,但是實際中對ldap的了解和具體的原理可能還比較模糊,今天就從 什麼是ldap ldap的主要產品 ldap的基本模型 ldap的使用案例 四個方面來做乙個介紹。我們在開始介紹之前先來看幾個問題 1.我們日常的辦公系統是不是有多個?...
LDAP介紹和使用ACL示例
決定了將要應用訪問控制的條目和屬性。條目通常通過兩種方式選定 通過dn或者通過過濾器。下面的示例通過dn選擇條目 to to dn to dn.第一種格式用於選擇所有的條目。第二種格式用於選擇標準化的dn與所給正規表示式相匹配的條目 第二種格式不會在本文件中深入討論 第三種格式用語選擇在所請求的dn...