OpenLDAP使用疑惑解答及使用Java完成LDAP身份认证

导读

LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP 之上的访问协议—LDAP。

LDAP目录中的信息是是按照 树型结构组织，具体信息存储在条目(entry)的数据结构中。常见的例子是通讯簿，由以字母顺序排列的名字、地址和电话号码组成。

目录服务与关系数据库之间的主要区别在于：二者都允许对存储数据进行访问，只是目录主要用于读取，其查询的效率很高，而关系数据库则是为读写而设计的。也就是目录服务不适于进行频繁的更新，属于典型的分布式结构。

总结：对于查询操作多于更新操作的（认证）系统来说，使用OpenLDAP是一个比关系数据库如MySq、PostgreSQL等更好的选择。

LDAP的功能

在LDAP的功能模型中定义了一系列利用LDAP协议的操作，主要包含以下4部分：

查询操作：允许查询目录和取得数据， 其查询性能比关系数据库好。

更新操作：目录的更新操作没关系数据库方便，更新性能较差，但也同样允许进行添加、删除、修改等操作。

复制操作：前面也提到过，LDAP是一种典型的分布式结构，提供复制操作，可将主服务器的数据的更新复制到设置的从服务器中。

认证和管理操作：允许客户端在目录中识别自己，并且能够控制一个会话的性质。

而本文所要将的OpenLDAP就是一个优秀的开源的LDAP实现。

OpenLDAP安装配置及疑惑解答

1. 安装和配置OpenLDAP

安装软件非常简单，但在配置过程中遇到了不少坎坷，不是服务启动不成功就是验证不成功。

具体的安装和配置方法网上一大把，但都参差不齐，主要是因为新旧版本的OpenLDAP不同，配置方法有很大的改动。

下面给出网上几个还算靠谱的Linux和Windows两个平台下安装该软件的方法：

1）ubuntu安装LDAP：安装方法靠谱，但配置说的不太清楚，配置注意事项看后面。

2）Ubuntu OpenLDAP Server：官方教程，最值得借鉴，是英文的，这里有中文版的，但没英文的清晰，说的比较简单。

3）Linux下安装openldap：二进制包安装方法，适用于非Ubuntu的Linux系统，稍微有点麻烦，在安装OpenlDAP之前还需要安装Berkeley DB，但配置灵活，可以自定义安装路径什么的。后面的配置也没说清楚，主要看安装方法。

4）Linux服务器部署系列之七—OpenLDAP篇：另一篇较详细的二进制安装方法及配置。

4）Windows下OpenLDAP的安装及使用：介绍了LDAP的一些基础知识和Windows下安装方法。

5）图文介绍openLDAP在windows上的安装配置：比较详细，值得一看。

上面给出的这几个链接虽然还不错，但还是欠缺了些什么？对，就是讲解，网上给出的教程都是手把手教你如何安装和配置，而没有说明版本差异、具体配置的含义及为什么这样配置，如果因为版本或环境差异，你按其方法配置不成功，你也不知道哪里出的问题，因此建议还是先熟悉LDAP的基础知识，配置文件含义然后再试着安装。

2. OpenLDAP疑惑解答

下面根据我自己的经验，给出几个安装和配置注意事项，供参考。

疑惑1：细心的人会发现有的教程说要配置主机DNS，添加与LDAP相关的域名，而大部分教程都没有提及这个，那么到底要不要配置呢？

解答：当然需要配置。安装好OpenLDAP后首先需要配置slapd.conf这个文件，其中里面有

suffix        "dc