LDAP協(xié)議基礎(chǔ)概念

1、1從用途上闡述ldap,它是一個存儲靜態(tài)相關(guān)信息的服務(wù)，適合“一次記錄多 次讀取”。常用ldap服務(wù)存儲的信息：公司的物理設(shè)備信息（如打印機，它的ip地址、存放位置、廠商、購買 時間等） 公開的員工信息（地址、電話、電子郵件） 合同和賬號信息（客戶信息、產(chǎn)品交付h期、投標信息、項口信息） 憑證信息（認證憑證、許可證憑證）2. 從數(shù)據(jù)結(jié)構(gòu)上闡述ldap,它是一個樹型結(jié)構(gòu)，能有效明確的描述-個組織結(jié) 構(gòu)特性的相關(guān)信息。在這個樹型結(jié)構(gòu)上的每個節(jié)點，我們稱之為“條目（entry）”，每個條目有自己的唯一可區(qū)別的名稱（distinguished name , dn）。 條目的dn是由條目所在樹型結(jié)構(gòu)屮的

2、父節(jié)點位置（basedn）和該條目的某個可 用來區(qū)別身份的屬性（稱之為rdn如uid , cn）組合而成。對full dn :“shineuserid二linly , ou二employee , de二jsoso , de二net” 而言，其屮 base dn： “ou二employee , dc=jsoso , de二net” , rdn： "shineuserid二linly"下 面是一個ldap服務(wù)器的數(shù)據(jù)結(jié)構(gòu)圖：3. 從協(xié)議衍化上闡述ldap,它是“目錄訪問協(xié)議dapiso x. 500”的衍生, 簡化了 dap |辦議，提供了輕量級的基于tcp/ip 議的網(wǎng)絡(luò)訪問

3、，降低了管理維 護成本，但保持了強壯口易于擴充的信息框架。ldap的應(yīng)用程序可以很輕松的 新增、修改、查詢和刪除口錄內(nèi)容信息。ldap 目錄條目(directory entry)簡述從 object classes 談起在ldap b錄數(shù)據(jù)庫屮，所冇的條目都必須定義objectclass這個屈性。這冇點 像java語言里說闡述的“一切皆對彖”的理念，每個條目(ldap entry)都要 定義自己的object classeso object class可以看作是ldap entry的模板，它 定義了條目的屬性集，包括必有屬性(requi ted attribute)和口j選屬性(option

4、attribute) o這里耍著重指出的是，在ldap的entry中是不能像關(guān)系數(shù)據(jù)庫的 表那樣隨意添加屈性字段的，一個entry的屈性是由它所繼承的所有object classes的屬性集合決定的，此外可以包押i ldap中規(guī)定的“操作屬性”(操作 屬性是一種獨立于object class而存在的屬性，它可以賦給口錄屮的任意條口)。 如果你想添加的屬性不在object classes定義屬性的范疇，也不是ldap規(guī)定的 操作屈性，那么是不能直接綁定(在ldap中，給entry賦予屈性的過程稱為綁 定)到條目上的，你必須自定義一個含有你需要的屬性的object class,而后 將此類型賦給條

5、目。object class是可以被繼承的，這使它看上去真的很像java語言屮的pojo對 象。繼承類的對象實例也必須實現(xiàn)父類規(guī)定的必有屈性(requited attribute),同時擁有父類規(guī)定的可選屈性(option attribute)o繼承類可以擴展父類的必冇屈性和可選屈性。由于object class的繼承特性，因此在一個ldap entry ±, objectclass屬性是一個多值屬 性，它涵蓋了 object class的完整繼承樹，如用戶條目uid=linly , ou二people, dc=jsoso , de二net,它直接實現(xiàn)了 inetorgperson這

6、個對象類，那么它的 objectclass 屈性值為 inctorgpcrson, org3nizeitionalpcrson, person, top。從 object classes 到 directory server schema上一章節(jié)屮，我們了解了 ldap條口都要遵守的一個最重要的規(guī)定object classes,而實際上，對entry更多更細的規(guī)范被涵蓋在了 directory server schema (目錄服務(wù)模式)中。directory schema聲明了完整的ldap數(shù)據(jù)的存儲 規(guī)范，這包括數(shù)據(jù)的字節(jié)大小、數(shù)值范圍和格式定義。默認的，在一個ldap服務(wù)器上，都定義有一

7、套標準的schema和一套為服務(wù)器功 能定制的schemao用戶在需要的時候,是可以定制自己的ldap屬性和object class,以擴展標準schema的功能。在sun directory server中，使用了標準 ldapv3 schema,并在此基礎(chǔ)上做了輕微的擴展。在schema中的標準屬性(standard attributes)是一個鍵-值對，如：cn： linly , 屬性id (屬性名)為cn,屬性值為linly o事實上，一個完整的條口就是由一 系列的鍵-值對組成的。以下是一個完整的ldap entry：引用dn: uid=linly, ou二people, dc=jso

8、so,dc=net telephonenumber:ail: linliangyi2005gmai1. comobjectclass:topobjee tcleiss:personobjectclass:organizationalpersonobjectclass:inetorgpersoncn: linliangyiuscrpassword: ssiiaaptgp47lczivgqjpbi8343fwkcl3qgqq9kirxw= creatorsname:uid=admin, ou二administrators, ou=topologymanagement, o

9、=netscaperoot createtimestamp: 20080219070003znsuniquetd: 2deb0d01-deb81ldc-8055dc88-5f880db9nsrolcdn: cn二myadminrole, ou二people，de二jsoso, dc=net nsroledn: cn二secondrole, ou二people, de二jsoso, dc=net cn;phonetic;lang-zh: ia二二 preferredlanguage: zhcn cn;lang-zh: 5p6x6tmv55uktca=g i vcnnamc: 1 i eingy

10、igivenname;lang-zh: 61mv55uksn: linsn;lang-zh: 5p6xuid: 1 inlymanager: costcmplatcforpostalcodcmodifiersname:uid=admin, ou二administrators, ou=topologymanagement, o=netscaperoot modi fytimestamp: 20080227083015z在schema屮，對屈性的定義包含以下內(nèi)容： 一個唯一的屬性名稱 一個屬性的 oid (object identifier) 一段屬性的文本描述信息 一個關(guān)聯(lián)屈性文法定義的0id

11、屬性的單值/多值描述；屬性是否是目錄口有的；屬性的由來；附加的一 些匹配規(guī)則此外schema中最重要的部分就是我們上面提到的object classes,它實際上是 預(yù)定義的一套捆綁成套的屈性集合。在schema定義屮，object classes耍包含 以下內(nèi)容： 一個唯一的名字 個 object identifier (otd)定義 object class 一個必有的屈性集合 一個可選的屈性集合高級ldap條目在口錄服務(wù)小，信息是以條口的形式被分層次的組織在-起的。ldap提供了幾 種分組機制，使得信息管理更富有彈性。靜態(tài)組和動態(tài)組(static group and dynamic gr

12、oup)組(group),聲明一個口錄條口的集合靜態(tài)組(static group):顯式聲明了一個它的集合成員，這種方式適用于少量 明確的成員組合。動態(tài)組(dynamic group):它定義了一個過濾條件，所冇匹配條件的條目都是 組的成員。所以稱之為動態(tài)組，是因為每次讀取其組員名單時，要動態(tài)計算過濾 條件。吏用組的優(yōu)點是能夠快速的查找所屬的成員；缺點是，給出任意的成員，無法獲 知它所屈的組。因此從數(shù)據(jù)關(guān)聯(lián)關(guān)系上看，group適合一對多的杳詢。受管角色、過濾器角色和嵌套角色(managed role、filtered role and nested role)角色(role),它是條目的另一種

13、集合形式。它與組不同的在于，給定一個任意 的成員條目，我們能立刻獲知它所屈的角色。因此從數(shù)據(jù)關(guān)聯(lián)關(guān)系上看，role 適合多對一的查詢。角色定義僅對它們的父節(jié)點子樹下而的目錄條目冇效。受管角色(managed role),它等價于group中的靜態(tài)組，不同的是，role不 是把組員信息添加到自身屬性屮，而是將自身的dn添加到組員條口的nsroledn 屬性中。過濾器角色(f訂tered role),它與動態(tài)組相似，通過定義條目過濾器來確定 組員。嵌套角色(nested role),它是對角色定義的一種嵌套形式?？梢郧短灼渌?嵌套角色的。嵌套角色的成員，是其包含的所有角色成員的合集。嵌套角色通過

14、 包含從屬于其它子樹下的角色，可以擴展其搜索的scopeo月艮務(wù)類cos服務(wù)類實際上是一種屬性的共享機制，它無須定義條目間的關(guān)聯(lián)關(guān)系，卻可以做 到數(shù)據(jù)同步和空間優(yōu)化。例如，在一個公司口錄下，擁有上千個員工，他們擁有 相同的公司地址屬性；在傳統(tǒng)的條目中，地址屬性分別存貯在員工條目里，這樣 不但浪費存儲空間，一旦地址變更，則要對員工條目進行逐一修改。采用cos 機制后，公司地址屈性被存放在一個對彖內(nèi)，員工條目通過引用這個對彖來獲得 地址信息，從而縮小的存儲空間損耗，并方便了信息的修改。cos僅對其父節(jié)點子樹下面的口錄條口有效。cos機制包含兩個部分，cos定義 條目和cos模板條目。定義條目描述了

15、屬性是如何被引用的；模板條目描述了屬 性的值。cos機制包含3種類型：指針服務(wù)類(pointer cos),在pointer cos中，cos包含一個定義definition entry,它指定了兩個屬性:1. 共享屬性的名稱；2.提供共享數(shù)據(jù)的模板dno另外cos還要有一個template entry,它要提供共享的數(shù)據(jù)。在定義了 definition entry 和 template entry ju , pointer cos 將為其父節(jié)點 子樹下而的所冇條目(目標條目target entry)分配共享屈性和模板所定義的 值。示意圖如下：target entrydef in iti on

16、 en try： cn 二 poin ter cos , de 二 example , de 二"com 定義了 cos 的 共享屬性 cosattribute： postalcode,同時定義了 cos 的模板 dn costemplatedn： cn=costcmplatcforpostalcodc, cn=dataotemplate entry:"它是 cos 的模板，定義了共享屬性值 postalcode： 45773。 target entry：它是目標條目,因為它位于dc=example de二com的子樹下。所以它獲得了共享屬性postalcode： 4577

17、3。間接服務(wù)類(indirect cos),在使用間接服務(wù)類時，在definition entry條目屮定義了 cos的共享屈性 cosattribut和一個用來間接指向模板的屬性cosindirectspecifiero 首先,我們需要用cosindirectspecifier的值a作為屬性名,來檢索cos父節(jié) 點子樹中所有擁有a屬性的條目，作為目標條目target entry。其次，根據(jù)找到的target entry條目中a屈性的值來定位模板對象。最后，再分別根據(jù)找到的模板對彖屮擁冇的共享屈性值賦給對應(yīng)的target entryo例如，定義如下definition entry引用dn: c

18、n二gencratcdeptmum, ou=pcoplc, dc=examplc, dc=comobjectclass: topobjectclass: ldapsubentryobjectclass: cossuperdefinitionobjectclass: costndirectdefinitioncoslndircctspccificr: memagcrcosattribute: departmentnumber該 cos 定義對條口 ou二people, de二example, de二com 下的子樹屮所有具manager 屬性的條目有效，同時設(shè)定其cos模板指向manager屬性

19、的值所指向的條目。 又假定有如卜的template entry條目，它具有屈性dcpartmcntnumbcr： 引用dn: cn=carla fuentes, ou=people, dc=example, dc=comobjcctclass: costcmplatc departmentnumber: 318842同時在 ou二people, de二example, dc=com 下冇 target entry 女口下： 引用dn: cn=babs jensen,ou=people, de二example, dc=comcn: babs jensen manager: cn二carla fu

20、entes,ou二people, de二example, dc=com departmentnumber: 318842因為該 entry 具有 manager 屬性,且在 ou二people, de二example, dc=com 子樹下， 所以它成為了 target entityo并且由于其manager的值指向模板cn二carla fuentes, ou二people, de二example, de二com, 因止匕， 它的 departmentnumber 為 318842o經(jīng)典服務(wù)類(classic cos)經(jīng)典服務(wù)類同間接服務(wù)類有點相似，它也是對屬性的間接應(yīng)用。在classic c

21、os 的定義條目中,除了共享屬性定義外,還有兩個定義,個是costemplatedn, 它指向模板條目的父節(jié)點；另一個是cosspecificr,它的值指向目標條目的屈 性a。由目標條目的屈性a的值來代替模板條目的rnd。則目標條目的屈性a的 值加上costemplatedn的值恰好定義一個唯一的模板條目。舉例如下，首先是-個經(jīng)典服務(wù)類的定義條口：引用dn: cn二classiccos，dc=cxamplc, de二comobjectclass: topobjectclass: ldapsubentryobjectclass: cossuperdefinitionobjectclass: co

22、sclassicdefinitioncostcmplatcdn: ou二people，dc=cxamplc, dc=com cosspecifier: buildingcosattribute: postaladdress該定義條目指明了 3個參數(shù)，1要共享的屈性是postaladdress2. 模板條目的上下文前綴是ou二people, dc=example, dc=com3. 模板條目的rdn存儲于目標條目的bu訂ding屬性中 其次，假定有如下模板條口：引用dn: cn二b07, ou=pcoplc, dc=examplc, dc=comobjectclass: topobjectcla

23、ss: ldapsubentryobjectclass: extensibleobjectobjcctclass: costcmplatcpostaladdres: 7 old oak street$anytown, ca 95054最后，我們假設(shè)有以下口標條口：引用dn: cn二babs jcnscn，ou二people，dc=cxamplc, de二comcn: babs jensen building: b07postaladdres: 7 old oak street$anytown, ca 95054由于目標條目屮，building屈性的值是b07,因此該條目的模板定義dn = b0

24、7 力【上 ou=people, dc=example, de二com , 即cn二b07, ou二people, de二example, de二com,因此目標條目的 postaladdres 引用模 板的值 7 old oak street$anytown, ca 95054。ldap目錄搜索ldap搜索是目錄服務(wù)最常用的功能之一。在ldap服務(wù)中搜索要用到相應(yīng)的 filter語句。filter語句由3個部分組成：1. 屬性，女i： cn , uid ,操作屬性如:objectclass , nsroledn2. 比較操作符，如，,= ,3. 邏輯預(yù)算符，如：與操作& ,或操作i

25、,非操作！關(guān)于filter語句組成的詳細參數(shù)表如下：filter的運算符返回所含屬性値與指定的值 完全匹配的條目.例如子字符串卩-string* string 卩cn=bob johnson a返回所含尿性中包含指定子字符串的條目.例如：卩cn=bob* “cn="johnson 卩 cn=ajohn* 卩 cn=b*john 卜（星號c）指示o個或更 多字符）2大于等于2>=4返回所含屬性大于或等于損 定值的條目.例如：4 buildingname >= alpha a小于等于&<=p返回所含屬性小于或等于*目 定值的條目.例如：a buildingnam

26、e <- alpha 2存在4或多個值的條目.例如：返回包含所指定屬性的一個cnj卩telephonenumber=a manager返回的條目中所含的扌靛屬性的值近似等于捜索過痣器中指定的值.例如：卩cn=suret 亠 l=san fransico。 將返回cn=sargtte l=sanfrancisco »filter布爾運算符運算符符號心說明pand卩&卩所有指定的過濾器都必須為 真時，該語句才為真.例如：(&£filter)(filter)(filter).) por a1 "至少指定的一個過淹器為真 時，該逶句冃卩為真.例如：p

27、(ufilter)(filter)(f51ter).) fnot p!亠扌旨定的語句必須非真時，該語句才為真只有一個過濾器受 not運算符的影響例如：(! (filter) a搜索過濾器示例下列過濾器將搜索包含一個或多個manager屬性值的條目。這也稱為存 在搜索：manager*下列過濾器將搜索包含通用名ray kul tgen的條目。這也稱為等價搜索: cn二ray kultgen下列過濾器返回所有不包含通用名ray kultgcn的條口： (! (cn=ray kultgen)下列過濾器返回的所有條目中都有包含了字符串x. 500的說明屬性： description=*x. 500*下

28、列過濾器返冋所有組織單元為marketing且說明字段中不包含子字符 串 x. 500 的條目:(&(ou=marketing) (! (description=*x. 500*)下列過濾器返回所有組織單元為marketing且manager為julie fulmer 或 cindy zwaska 的條目：(&(ou=marketing) (| (manager二cn二jill iefulmer, ou=marketing, dc=siroe, dc=com) (meinager二cn二cindyzwaska, ou=markcting, dc=siroe, dc=com)下列

29、過濾器返回所有不代表人員的條目：(! (objectclass=person)下列過濾器返回所有不代表人員且通用名近似于printer3b的條目： (&(! (objectclass=person)(cn=prinier3b)1 dapsearch指令參數(shù)-b搜索的起始上下文 d綁定搜索的賬號distinguished name -h +機名。地址 -p ldap服務(wù)端口 -1搜索的最大耗時 -s從上下文開始的搜索范圍，有三個常量base（表示僅當而根對象）/onc（當前根對彖及下一級）/sub （當前根對彖的全部子樹） -w綁定賬號密碼 -z返回結(jié)果的最大數(shù)量搜索“操作屬性”在lda

30、p搜索中，操作屬性在默認情況下是不會跟隨搜索結(jié)果返冋的。必須在搜 索中明確顯示的指定操作屬性，如：引用ldapsearch -h linly. 一p 5201 -d ，zcn=dircctory manager" -w password "objectclass=* aci二accounts。搜索“操作對象類”的條目在ldap小role、cos等對彖被定義為特殊的object class操作對彖類 （operational object class）,在一般的搜索屮，這類對象是不會作為結(jié)果返 回給用戶的。要想查找這些對象，必須在filter中顯式定義要找這個對象類。 例如：

31、（objectciass=ldapsubentry）。aci權(quán)限控制ac i （access control instruction）訪問控制指令是ldap服務(wù)中用以控制用 戶訪問權(quán)限的有力手段。在目錄的entry中，aci屬性記錄了對該條目的多條訪 問控制指令。（aci屬性是一個多值操作屬性，可以賦予任意的ldap條目） aci 的語法格式如下：aci: （target） （version 3. 0;acl ，namc，;permission bindrules;）” target指定了 aci要控制訪問的目標屬性（集合）或條目（集合）。target 可以用d7, 個或多個屬性，或者一個fi

32、lter來定義。它是一個可選項。target語法是：關(guān)鍵字op表達式target關(guān)鍵字表關(guān)鍵字表達式能否便用*通配符targetldap：/distingu ished. n am是targetattr<nattribute是“targetfilter<ldapjllter是廠targattrfilters<,ldapoperqtion：ldapjilter是（更多詳細的 target 用法，請參閱 sun one directory server 5. 2 administration guide ）version 3.0這是一個必須的常量字竄，用以識別aci的版本。nam

33、e指定aci的名稱，可以使任意的字竄，只要區(qū)別于同一個條目aci屬性下 的其他aci,這是一個必須屬性。permission指定權(quán)限許可。權(quán)限包括： read> write、 add> delete、 search> compare> selfwrite、 proxy 或all,其中all表示出了 proxy之外的所有操作。權(quán)限語法：allow | deny （權(quán)限）bind_rules綁定規(guī)則。綁定規(guī)則定義了何人、何時，以及從何處可以訪問目錄。 綁定孤則可以是如下規(guī)則之一： 被授予訪問權(quán)限的用戶、組以及角色 實體必須從中綁定的位置 綁定必須發(fā)生的時間或口期 綁定期間必

34、須使用的驗證類型 綁定規(guī)則語法：keyword =或者！二"expressiort;（注：timeofday關(guān)鍵字 也支持不等式、<=> >、>=）oldif綁定規(guī)則關(guān)鍵字表1關(guān)腱字表達式能否使用*通配符userdn1hap：/distinguished jiame map：/alkmap：/合nyonzbap：/seif-hap：/parenu/suffix?sub?(filter)*:,是，只能在dn中qgroupdnldap：/£w | ldap:/dna否aroledn<nldap：/d/v | ldap：/d否quserattn1attribute#bindtype 或心 attribute#vaiue<否卩ipqip.address，是3dnsqdns.host.nama是qdayofweefe1sun mon “ tue. wed， thua firia sat*3否qtimeofday0-2359-否authmethodp無卩 simple ssk sasl authentication method否卩(更多詳細的綁定規(guī)則用法，請參閱sun one directory server 5.