相信對于許多的朋友來說�����,可能聽說過LDAP�����,但是實際中對LDAP的了解和具體的原理可能還比較模糊����,今天就從“什么是LDAP”�����、“LDAP的主要產(chǎn)品”���、“LDAP的基本模型”�����、“LDAP的使用案例”四個方面來做一個介紹����。
我們在開始介紹之前先來看幾個問題:
1. 我們?nèi)粘5霓k公系統(tǒng)是不是有多個�����?
2. 每個系統(tǒng)之間是不是都有獨立的賬號密碼?
3. 密碼多了�,有時候半天想不起來哪個密碼對應(yīng)哪個系統(tǒng)?
4. 每次新項目的開發(fā)���,都需要重新開發(fā)和維護一套用戶密碼��?
5. 維護多套系統(tǒng)的用戶是不是非常頭疼����?
So�����,如今大家再也不用為上面的的問題頭疼了���,因為“LDAP統(tǒng)一認證服務(wù)”已經(jīng)幫助大家解決這些問題了��。那么相信大家對“LDAP統(tǒng)一認證服務(wù)”是干嘛的已經(jīng)有一個大概的了解了吧�����?那我們開始今天要講解的內(nèi)容吧���!
一��、什么是LDAP���?
(一)在介紹什么是LDAP之前,我們先來復(fù)習一個東西:“什么是目錄服務(wù)���?”
1. 目錄服務(wù)是一個特殊的數(shù)據(jù)庫,用來保存描述性的�、基于屬性的詳細信息,支持過濾功能����。
2. 是動態(tài)的,靈活的���,易擴展的�����。
如:人員組織管理�,電話簿����,地址簿��。
(二)了解完目錄服務(wù)后�����,我們再來看看LDAP的介紹:
LDAP(Light Directory Access Portocol)�,它是基于X.500標準的輕量級目錄訪問協(xié)議����。
目錄是一個為查詢、瀏覽和搜索而優(yōu)化的數(shù)據(jù)庫�,它成樹狀結(jié)構(gòu)組織數(shù)據(jù),類似文件目錄一樣���。
目錄數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫不同�����,它有優(yōu)異的讀性能�����,但寫性能差����,并且沒有事務(wù)處理、回滾等復(fù)雜功能���,不適于存儲修改頻繁的數(shù)據(jù)�。所以目錄天生是用來查詢的����,就好象它的名字一樣。
LDAP目錄服務(wù)是由目錄數(shù)據(jù)庫和一套訪問協(xié)議組成的系統(tǒng)�。
(三)為什么要使用
LDAP是開放的Internet標準,支持跨平臺的Internet協(xié)議����,在業(yè)界中得到廣泛認可的�,并且市場上或者開源社區(qū)上的大多產(chǎn)品都加入了對LDAP的支持,因此對于這類系統(tǒng)�,不需單獨定制,只需要通過LDAP做簡單的配置就可以與服務(wù)器做認證交互����。“簡單粗暴”��,可以大大降低重復(fù)開發(fā)和對接的成本。
我們拿開源系統(tǒng)(YAPI)做案例����,只需做一下簡單的幾步配置就可以達到LDAP的單點登錄認證了:
{
"ldapLogin": {
"enable": true,
"server": "ldap://l-ldapt1.ops.dev.cn0.qunar.com",
"baseDn": "CN=Admin,CN=Users,DC=test,DC=com",
"bindPassword": "password123",
"searchDn": "OU=UserContainer,DC=test,DC=com",
"searchStandard": "mail"
}
}
是不是很方便呢?
二����、LDAP的主要產(chǎn)品
細心的朋友應(yīng)該會主要到,LDAP的中文全稱是:輕量級目錄訪問協(xié)議���,說到底LDAP僅僅是一個訪問協(xié)議����,那么我們的數(shù)據(jù)究竟存儲在哪里呢����?
來,我們一起看下下面的表格:
廠商 | 產(chǎn)品 | 介紹 |
SUN | SUNONE Directory Server | 基于文本數(shù)據(jù)庫的存儲�����,速度快 ����。 |
IBM | IBM Directory Server | 基于DB2 的的數(shù)據(jù)庫,速度一般。 |
Novell | Novell Directory Server | 基于文本數(shù)據(jù)庫的存儲���,速度快, 不常用到���。 |
Microsoft | Microsoft Active Directory | 基于WINDOWS系統(tǒng)用戶,對大數(shù)據(jù)量處理速度一般���,但維護容易���,生態(tài)圈大,管理相對簡單��。 |
Opensource | Opensource | OpenLDAP 開源的項目����,速度很快��,但是非主 流應(yīng)用�����。 |
沒錯����,這就是正常存儲數(shù)據(jù)的地方�����,而訪問這些數(shù)據(jù)就是通過我們上述所說的LDAP���。相信到這里大家應(yīng)該了解兩者之間的關(guān)系了吧!
三�、LDAP的基本模型
每一個系統(tǒng)、協(xié)議都會有屬于自己的模型�����,LDAP也不例外��,在了解LDAP的基本模型之前我們需要先了解幾個LDAP的目錄樹概念:
(一)目錄樹概念
1. 目錄樹:在一個目錄服務(wù)系統(tǒng)中����,整個目錄信息集可以表示為一個目錄信息樹,樹中的每個節(jié)點是一個條目����。
2. 條目:每個條目就是一條記錄,每個條目有自己的唯一可區(qū)別的名稱(DN)��。
3. 對象類:與某個實體類型對應(yīng)的一組屬性,對象類是可以繼承的���,這樣父類的必須屬性也會被繼承下來����。
4. 屬性:描述條目的某個方面的信息���,一個屬性由一個屬性類型和一個或多個屬性值組成�,屬性有必須屬性和非必須屬性�����。
(二)DC����、UID、OU�����、CN�����、SN�����、DN���、RDN
關(guān)鍵字 | 英文全稱 | 含義 |
dc | Domain Component | 域名的部分�����,其格式是將完整的域名分成幾部分���,如域名為example.com變成dc=example,dc=com(一條記錄的所屬位置) |
uid | User Id | 用戶ID songtao.xu(一條記錄的ID) |
ou | Organization Unit | 組織單位,組織單位可以包含其他各種對象(包括其他組織單元)�����,如“oa組”(一條記錄的所屬組織) |
cn | Common Name | 公共名稱��,如“Thomas Johansson”(一條記錄的名稱) |
sn | Surname | 姓�,如“許” |
dn | Distinguished Name | “uid=songtao.xu,ou=oa組,dc=example,dc=com”,一條記錄的位置(唯一) |
rdn | Relative dn | 相對辨別名��,類似于文件系統(tǒng)中的相對路徑����,它是與目錄樹結(jié)構(gòu)無關(guān)的部分��,如“uid=tom”或“cn= Thomas Johansson” |
(三)基本模型:
信息模型:
命名模型:
功能模型:
安全模型:
四�、LDAP的使用
那我們是如何訪問LDAP的數(shù)據(jù)庫服務(wù)器呢���?
統(tǒng)一身份認證主要是改變原有的認證策略���,使需要認證的軟件都通過LDAP進行認證,在統(tǒng)一身份認證之后��,用戶的所有信息都存儲在AD Server中�。終端用戶在需要使用公司內(nèi)部服務(wù)的時候,都需要通過AD服務(wù)器的認證��。
那么程序中是如何訪問的呢��? 我們以PHP腳本作為例子:
$ldapconn = ldap_connect(“10.1.8.78")
$ldapbind = ldap_bind($ldapconn, 'username', $ldappass);
$searchRows= ldap_search($ldapconn, $basedn, "(cn=*)");
$searchResult = ldap_get_entries($ldapconn, $searchRows);
ldap_close($ldapconn);
1. 連接到LDAP服務(wù)器����;
2. 綁定到LDAP服務(wù)器;
3. 在LDAP服務(wù)器上執(zhí)行所需的任何操作���;
4. 釋放LDAP服務(wù)器的連接���;
這章就只介紹LDAP的一些概念和基本的原理,代碼的操作下一章再展開來講錯或講的不好的地方����,還望指教!
該文章在 2021/6/18 9:19:03 編輯過
400 186 1886
