LDAP

http://blog.csdn.net/chong232/article/details/2267739

http://blog.itpub.net/post/7928/88112

http://blog.csdn.net/icechenbing/article/details/7645329

目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。目录服务系统一般由两部分组成：第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的规划；第二部分则是访问和处理数据库有关的详细的访问协议。

目录服务与关系型数据库不同的是，目录不支持批量更新所需要的事务处理功能，目录一般只执行简单的更新操作，适合于进行大量数据的检索；目录具有广泛复制信息的能力，从而在缩短响应时间的同时，提高了可用性和可靠性。目前，目录服务技术的国际标准有两个，即较早的X.500标准和近年迅速发展的LDAP标准。

X.500：

• X.500是一个协议族。
• 如X.509认证框架是如何在X.500中处理目录客户和服务器的认证 --- X.509证书

LDAP目录：

• LDAP目录是一种数据库，但不是关系数据库；
• LDAP目录为分层结构，用“树”表示比较好；关系数据库用“表”表示；
• LDAP服务器用来处理查询和更新LDAP目录；
• LDAP服务器可以是任何一个开放源代码或商用的LDAP目录服务器（或者还可能是具有LDAP界面的关系型数据库）；
• 大多数的LDAP服务器都为读密集型的操作进行专门的优化。因此，当从LDAP服务器中读取数据的时候会比从关系型数据库中读取数据快一个数量级；
• 大多数的LDAP目录服务器并不适合存储需要经常改变的数据。
  

LDAP协议族：

• LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol；
• 它是“目录访问协议DAP——ISO X.500”的衍生，简化了DAP协议，提供了轻量级的基于TCP/IP协议的网络访问，降低了管理维护成本，但保持了强壮且易于扩充的信息框架；
• 用于访问LDAP目录；与关系数据库的SQL类似；
• 目录由条目（Entry）组成，条目相当于关系数据库中表的记录；条目是具有区别名DN（Distinguished Name）的属性（Attribute）集合，DN相当于关系数据库表中的主键（Primary Key）；属性由类型（Type）和多个值（Values）组成，相当于关系数据库中的域（Field）由域名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的；
• 条目Entry：包含0到多个对象类。有唯一可区别的名称（Distinguished Name ，DN）；通过DN对条目进行创建、修改、删除、查找等操作；
  
• 对象类ObjectClass:在Schema定义中，Object Classes要包含以下内容： 
  
  • 一个唯一的名字
  • 一个object identifier (OID) 定义Object Class
  • 一个必有的属性集合
  • 一个可选的属性集合
• 属性：一个属性类型可以对应多个值？？
  
• LDAP是一个查询为主的记录结构，过滤器filter相当于SQL中的WHERE子句；
• 在LDAP中把对象类、属性类型、语法和匹配规则统称为Schema.这些系统Schema在LDAP标准中进行了规定，同时不同的应用领域也定义了自己的Schema，同时用户在应用时，也可以根据需要自定义Schema。查看openldap\openldap-2.4.34\servers\slapd\schema下文件：

# inetOrgPerson

# The inetOrgPerson represents people who are associated with an

# organization in some way.  It is a structural class and is derived

# from the organizationalPerson which is defined in X.521 [X521].

objectclass( 2.16.840.1.113730.3.2.2  --- OID

    NAME 'inetOrgPerson'

    DESC 'RFC2798: Internet Organizational Person'

    SUP organizationalPerson

    STRUCTURAL

MAY(

audio $ businessCategory $ carLicense $ departmentNumber $

displayName $ employeeNumber $ employeeType $ givenName $

homePhone $ homePostalAddress $ initials $ jpegPhoto $

labeledURI $ mail $ manager $ mobile $ o $ pager $

photo $ roomNumber $ secretary $ uid $ userCertificate $

x500uniqueIdentifier $ preferredLanguage $

userSMIMECertificate $userPKCS12 )

)

# userPKCS12

# PKCS #12 [PKCS12] provides a format for exchange of personal identity

# information.  When such information is stored in a directory service,

# the userPKCS12 attribute should be used. This attribute is to be stored

# and requested in binary form, as 'userPKCS12;binary'.  The attribute

# values are PFX PDUs stored as binary data.

## OpenLDAP note: ";binary" transfer should NOT be used as syntax is binary

attributetype ( 2.16.840.1.113730.3.1.216

NAME 'userPKCS12'

DESC 'RFC2798: personal identity information, a PKCS #12 PFX'

SYNTAX 1.3.6.1.4.1.1466.115.121.1.5 )

rfc文档：

RFC 2251——LDAP V3核心协议，定义了LDAP V3协议的基本模型和基本操作；

RFC 2252——定义了LDAP V3中的基本数据模式（Schema）（包括语法、匹配规则、属性类型和对象类）以及标准的系统数据模式；

RFC 2253——定义了LDAP V3中的分辨名（DN）表达方式；

RFC 2254——定义了LDAP V3中的过滤器的表达方式；被rfc4415替代；

RFC 2255——LDAP统一资源地址的格式；

RFC 2256——在LDAP V3中使用X.500的Schema列表；

RFC 2829——定义了LDAP V3中的认证方式；

RFC 2830——定义了如何通过扩展使用TLS服务；

RFC 1823——定义了C的LDAP客户端API开发接口；

RFC 2847——定义了LDAP数据导入、导出文件接口LDIF。

openldap中（openldap\openldap-2.4.34\doc\rfc）包含的rfc，这些才是最新的rfc！！！：

rfc2079.txt X.500 Attribute Type and an Object Class to Hold URIs (PS)

rfc2247.txt Using Domains in LDAP DNs (PS)

rfc2293.txt Tables and Subtrees in the X.500 Directory (PS)

rfc2294.txt O/R Address hierarchy in the X.500 DIT (PS)

rfc2307.txt LDAP Network Information Services Schema (E)

rfc2377.txt LDAP Naming Plan (I)

rfc2589.txt LDAPv3: Dynamic Directory Services Extensions (PS)

rfc2649.txt LDAPv3 Operational Signatures (E)

rfc2696.txt LDAP Simple Paged Result Control (I)

rfc2713.txt LDAP Java schema (I)

rfc2714.txt LDAP CORBA schema (I)

rfc2798.txt LDAP inetOrgPerson schema (I)

rfc2849.txt LDIFv1 (PS)

rfc2891.txt LDAPv3: Server Side Sorting of Search Results (PS)

rfc2926.txt LDAP: Conversion of LDAP Schemas to and from SLP Templates (I)

rfc3045.txt Storing Vendor Information in the LDAP root DSE (I)

rfc3062.txt LDAP Password Modify Extended Operation (PS)

rfc3088.txt OpenLDAP Root Service (E)

rfc3112.txt LDAP Authentication Password Schema (I)

rfc3296.txt Named Subordinate References in LDAP (PS)

rfc3663.txt Domain Administrative Data in LDAP (E)

rfc3671.txt Collective Attributes in LDAP (PS)

rfc3672.txt Subentries in LDAP (PS)

rfc3673.txt LDAPv3: All Operational Attributes (PS)

rfc3687.txt LDAP Component Matching Rules (PS)

rfc3698.txt LDAP: Additional Matching Rules (PS)

rfc3703.txt LDAP: Schema for Policy Core (PS)

rfc3712.txt LDAP: Schema for Printer Services (I)

rfc3727.txt ASN.1 Module for LDAP Component Matching Rules (PS)

rfc3829.txt LDAP Authorization Identity Controls (I)

rfc3866.txt Language Tag and Ranges in LDAP (PS)

rfc3876.txt Returning Matched Values with LDAP (PS)

rfc3909.txt LDAP Cancel Operation (PS)

rfc3928.txt LDAP Client Update Protocol (PS)

rfc4013.txt SASLprep (PS)

rfc4370.txt LDAP Proxied Authorization Control (PS)

rfc4373.txt LBURP (I)

rfc4403.txt LDAP Schema for UDDI (I)

rfc4510.txt LDAP Technical Specification Roadmap (PS)

rfc4511.txt LDAP: The Protocol (PS)

rfc4512.txt LDAP: Directory Information Models (PS)

rfc4513.txt LDAP: Authentication Methods and Security Mechanisms (PS)

rfc4514.txt LDAP: DN (PS)

rfc4515.txt LDAP: Search Filters (PS)

rfc4516.txt LDAP: URL (PS)

rfc4517.txt LDAP: Syntaxes and Matching Rules (PS)

rfc4518.txt LDAP: Internationalized String Preparation (PS)

rfc4519.txt LDAP: User Applications Schema (PS)

rfc4520.txt IANA Considerations for LDAP (BCP)

rfc4521.txt Considerations for LDAP Extensions (BCP)

rfc4522.txt LDAP: Binary Encoding Option (PS)

rfc4523.txt LDAP: X.509 Certificate Schema (PS)

rfc4524.txt LDAP: COSINE Schema (PS)

rfc4525.txt LDAP: Modify-Increment Extension (I)

rfc4526.txt LDAP: Absolute True and False Filters (PS)

rfc4527.txt LDAP: Read Entry Controls (PS)

rfc4528.txt LDAP: Assertion Control (PS)

rfc4529.txt LDAP: Requesting Attributes by Object Class

rfc4530.txt LDAP: entryUUID (PS)

rfc4531.txt LDAP Turn Operation (E)

rfc4532.txt LDAP Who am I? Operation (PS)

rfc4533.txt LDAP Content Sync Operation (E)

rfc5020.txt LDAP 'entryDN' operational attribute (PS)

rfc5805.txt LDAP Transactions (E)

Legend:

STDStandard

DSDraft Standard

PSProposed Standard

IInformation

EExperimental

FYIFor Your Information 

BCPBest Common Practice