目录服务

1. 目录服务概念

摘抄一：    

网络上,特别是互联网中有各型各类的主机,有各种各样的资源, 这些东西杂散在网络中, 需要有一定的机制来访问这些资源, 得到相关的服务, 于是就有了目录服务.

目录服务器的主要功能是提供资源与地址的对应关系, 比如你想找一台网上的共享打印机或主机时, 你只需要知道名字就可以了, 而不必去关心

它真正的物理位置. 而目录服务器帮助维护这样的资源---地址映射.

 

摘抄二：

目录服务主要解决在多服务器网络环境中有效地组织、管理、共享网络资源的问题。目录服务是信息数据库，在计算环境中，用于简便有效地存储，访问，管理，和使用各种用户和资源的信息。由于用户信息及网络资源通过目录服务集中管理，所以管理整个网络就变得非常容易，利用目录服务能有效地降低管理成本，提高管理效率。许多公司都意识到它的重要性。

 

摘抄三：

根据美国著名的网络顾问公司Burton Group的说法，“目录服务是有系统安全架构、应用程序与其他网络服务所构成的分布式计算环境的中心点，也是大型分布式运算环境中的最重要的元件，而它的实现会为我们所熟知的网络运算模式带来根本的改变”。更具体的说，目录在网络系统中是指网络资源的清单，它以一定的格式记录了现实世界中大量的信息，供用户（人、计算机应用程序等）做各种查询和修改。目录服务是指网络系统将网络中的各种资源信息集中管理起来，为用户提供一个统一的清单。目录服务在某种程度上讲它就是代表网络用户及资源基于对象的数据库上的网络应用服务。每个对象中都存储着与特定用户和网络资源有关的信息。对象可以在目录的树状结构中分层存储。便于用户建立一个与企业组织结构一致的网络结构。网络上的每个用户及资源均与别的用户和资源有关联，目录能够通过鉴定和授权来管理和控制人和计算机、计算机和计算机之间的关系。用户被鉴定意味着用户与网络组件两者能互相识别，因此能防止他人侵入系统偷取信息。用户被鉴定后，网络即授权该用户管理或使用他有权管理和使用的网络资源。用户的权限可以是全局的、组织内的或跨工作组的，网络管理员可以为特定的用户赋予特殊的权限，以满足那些处于目录树各个层次中的个别用户对网络资源的特殊需要。

　　对于目录服务最主要的功能可以归纳为两点：

　　有系统的记录构成网络的各项元件与资源，如PC机、服务器、网卡、打印机、交换机和集线器等。目录服务可将个人帐号、密码、应用程序及使用权限作为网络的一个组件，已对象的方式予以记录。

　　有效的管理上述网络各个对象的关联关系，明确设定每个对象在网络上的“身份”和“位置”，并进而管理网络使用者对网上资源的使用和拮取。

 

摘抄四：

目录服务实际上就是一种信息查询服务，它依赖于树状结构的目录数据库来提供信息查询。目录服务可广泛应用于网络本身的资源管理、网络信息的组织和查询。Internet上最常见的目录服务是一种公共查询服务，主要用于在全球范围内查找用户和商业伙伴，例如，用户可以访问目录服务器来查询网上用户的名称、地址、电子信箱和电话等公开信息。对于企业网来说，目录服务器主要用来实现整个网络系统各种资源的管理，作为网络的一种基础架构，支持网络结构化、安全认证、资源集中管理和资源共享等功能。

 

目录服务本质上是一种基于客户/服务器模型的信息查询服务，它依赖于目录数据库。与关系数据库相比，目录数据库更擅长查询。目录数据库中的数据读取和查询效率非常高，比关系型数据库能够快一个数量级。但是它的数据写入效率较低，适用于数据不需要经常改动，但需要频繁读出的情况，最典型的就是电子邮件系统的用户信息。
目录数据库是以树状的层次结构来描述数据信息的。这种模型与众多行业应用的业务组织结构完全一致，如政府部门、行政单位和企业的机构设置、人员和资源的组织方式。由于在现实世界中存在大量的层次结构，采用目录数据库技术的信息管理系统就能够轻易地做到与实际的业务模式相匹配。显然，目录服务非常适于基于目录和层次结构的信息管理。
Internet上面向普通用户提供的目录服务主要是用于在全球范围内查找用户和商业伙伴的搜索工具，这些工具主要用来查找网上用户。同Internet搜索工具一样，目录服务使用不同的方式收集数据，并提供查询服务。例如，BigFoot、WhoWhere提供免费电子邮件业务，当用户申请免费电子信箱时，需要填写包含名称、地址和电话等内容的申请表格；而VeriSign则在网上发放数字证书，要求申请和购买数字证书的用户提供详细信息，这些都为目录服务器建立用户数据库提供了信息来源。这些数据存储在LDAP服务器上，所有网上用户都可以通过LDAP协议来访问该服务器提供的目录查询服务。

 

 

2. 目录服务主要标准

目录服务的两个国际标准是X.500和LDAP。X.500包括了从X.501到X.509等一系列目录数据服务，已经被作为提供全球范围的目录服务的一种国际标准。而LDAP是基于TCP/IP协议的目录访问协议，是Internet上目录服务的通用访问协议。
X.500是国际电联定义的目录标准，它包括了一系列完整的目录数据服务。用于X.500客户机与服务器通信的协议是DAP（Directory Access Protocol）。X.500为网络用户提供分布式目录服务。它定义一个机构如何在一个企业的全局范围内共享名字和与它们相关的对象。X.500规定总体命名方式，全球统一的名字空间，一个完整的X.500系统称为一个目录。这个目录是一个数据库，称为目录信息数据库（DIB）。X.500是层次性的，所有对象被组织成树形结构，模仿一个机构的组织形式。X.500目录服务还能够实现身份认证、访问控制。它被公认为是实现一个目录服务的最好途径，但是它的实现需要很大投资，效率不高，在实际应用中存在着不少障碍。DAP对相关层协议环境要求过多，在许多小系统上无法使用，也不适应TCP/IP协议体系。鉴于此，出现了DAP的简化版LDAP。
LDAP（Lightweight Directory Access Protocol）的目的很明确，就是要简化X.500目录的复杂度以降低开发成本，同时适应Internet的需要。LDAP已经成为目录服务的标准，它比X.500 DAP协议更为简单实用，而且可以根据需要定制，因而实际应用也更为广泛。与X.500不同，LDAP支持TCP/IP协议，这对访问Internet是必需的。X.500采用公钥基础结构（PKI）作为主要的认证方式，而LDAP最初并不考虑安全问题，目前已增加安全机制。为保证数据访问安全，可使用LDAP的ACL（访问控制列表）来控制对数据读和写的权限。LDAP目前有两个版本：第2版LDAP v2和第3版LDAP v3。基于LDAP v3的服务器可以让普通用户使用支持LDAP功能的Web浏览器，进行有关电子邮件用户的查询，可以查询的用户属性包括姓名、电话号码、电子邮件地址和地址信息等；系统管理员可以通过LDAP客户程序远程进行目录管理操作，如添加、删除和修改用户账户信息等；可以请求服务器执行扩展操作。

3. LDAP介绍

1）．LDAP目录树结构
LDAP目录以树状的层次结构来存储数据，非常类似于自顶向下的DNS树或文件系统的目录树。目录由包含有描述性信息的各个条目（或称"记录"）组成，LDAP使用一种简单的、基于字符串的方法来表示目录条目。像DNS的主机名那样，LDAP目录记录的标识名（Distinguished Name，简称DN）用来读取某个条目。
LDAP定位于提供全球目录服务，数据按层次结构组织，从一个根开始，向下分支到各个条目。最顶层的是"根"或基本DN；目录往下被进一步细分成组织单元（OU，或称组织单位）；在这些OU中包含数据的条目。这种层次结构如图7.1所示。要实现LDAP，预先规划一个可扩展且有效的结构很重要。下面介绍LDAP目录树的有关概念。

基本DN
它是LDAP目录树的"根"或最顶部，也有人译为基准DN。在安装LDAP服务器时首先需要决定基本DN。可使用以下3种格式来表示基本DN。
以最原始的X.500标准格式表示，如o=mycompany,c=CN。其中o=mycompany表示组织名；c=CN表示组织所在国别。在基本DN中使用国家代码很容易让人产生混淆。
直接用公司的DNS域名作为基本DN，如o=mycompany.com。这种格式很直观，没有改变域名，也是目前最常用的格式。
用DNS域名的不同部分组成基本DN，如dc=mycompany, dc=com。这种格式将DNS域名分成两个部分，但是更灵活，更便于扩展。例如，当mycompany.com和myoffice.com合并之后，不必修改现有结构，可以简单地将dc=com作为基本DN。对于新安装的LDAP服务器，强烈建议使用这种格式。

组织单元
在基本DN（根目录）的下面是容器或组织单元（Organization Unit，简称OU），用于对数据进行分组和分类。OU相当于子目录，属于目录树的"分枝"，也可继续划分更低一级的OU。OU应尽可能地保持简单，以保持可扩展性，因为嵌套层次越多，查询效率就越低。

记录项
在LDAP目录结构的OU下面是实际的记录项，也称条目（Entry），相当于目录树中的"树叶"，或者相当于数据库表中的记录。目录中的所有记录项都有一个惟一的识别名称，也就是所谓的DN。每一个记录项的DN是由两个部分组成的：RDN和记录在LDAP目录中的位置。RDN是DN中与目录树的结构无关的部分。几乎存储在LDAP目录中的所有数据都有一个惟一名称，这个名称通常存储在cn（Common Name，公用名称）这个属性里。在LDAP中存储的对象都用它们的cn值作为RDN的基础。记录项存储多个属性，每个属性相当于一个数据库表中的字段，都有一种类型，有一个或多个值（表示单值字段和多值字段）。例如，将公司员工信息作为一条记录，这里给出一个完整的DN：
cn=wang, ou=employee, dc=mycompany, dc=com
其中cn=wang是RDN，用于惟一标识或区别记录；后面的ou和dc值指向目录结构中记录的位置。对于员工信息记录，还需定义更为详细的属性（字段），如头衔、电话和地址等。

对象类和模式
像普通的数据库一样，存储数据需要定义表的结构，定义各个字段。对于目录数据来说，也需要定制目录的对象类型。LDAP存储各种类型的数据对象，这些对象可以用属性来表示。LDAP目录用对象类（objectClasses）的概念来定义运行哪一类的对象使用什么属性。在几乎所有的LDAP服务器中，都要根据需要扩展基本的LDAP目录的功能，创建新的对象类或者扩展现存的对象类。所有对象类都从其父对象类继承。
模式（Schema）是按照相似性进行分组的对象类集合。例如，广为使用的inetOrgPerson模式包含departmentNumber、employeeType、givenName、homePhone和manager等的对象类。inetOrgPerson模式还继承了其他"父"模式的许多对象类。

2）．LDAP复制
LDAP服务器通常支持目录复制（Replication），可以使用"推"（Push）或"拉"（Pull）的方法在LDAP服务器之间复制部分或全部数据。例如，可以将数据"推"到远程办公室，以增加数据的安全性，也可以有选择地（不复制需要隐藏的信息）将子目录树从主LDAP服务器复制到公用LDAP服务器上。为保持数据同步更新，还可采用实时复制。为安全起见，可在要复制LDAP的服务器之间使用安全验证。
3）．LDAP的安全和访问控制
为保证数据访问安全，可使用LDAP的ACL（访问控制列表）来控制对数据读和写的权限。ACL可以根据谁访问数据、访问什么数据、数据存在什么地方等对数据进行访问控制。这些都是由LDAP目录服务器完成的，比用客户端的软件保证数据安全要可靠得多。此外，可以容易地将LDAP与大多数现有的安全层或认证系统（例如SSL、Kerberos和PAM等）集成在一起。

4. 目录服务的应用

随着Internet和电子商务的迅速发展，目录数据库日益受到用户和IT开发厂商的重视。目录数据库特别适合存储和管理以下类型的数据。
需要从不同的地点读取的数据。
不需要经常更新的数据。
要求查询速度快，索引功能强大。
数据安全性重要，数据访问需要精确控制。
数据分布广，而且数据规模逐渐增大。
数据需要共享。
例如，企业员工的通讯簿、客户的联系信息、企业和机构的组织结构信息、用于计算机网络管理需要的信息（如域名、网络结构）、软件包的配置信息、数字证书和公共密钥等，都适合用目录数据库管理。

1） 在实际应用中，目录服务主要用于以下技术领域。
计算机网络系统的基础管理，包括网络结构、网络资源和安全认证等。例如，可在企业网中建立目录服务器，作为全网通信的身份识别系统，对访问者进行集中的身份识别，实现用户的统一管理和统一授权，防止未经授权的用户非法使用系统资源。
组织机构和企业的资源管理，如机构信息、人事信息、产品信息和账户信息。
作为电子商务基础，用于储存客户、供货商和商品信息。
用于网络安全、证书服务和PKI系统。网络安全也可以是基于目录系统的，防火墙可通过一个目录系统来认证访问要求。电子认证证书的格式是由X.509标准规定的，PKI系统的核心本身就是一个目录系统。
扩充电子邮件系统。当一个大型机构通过多台邮件服务器提供统一的服务时，可建立LDAP目录服务器对所有用户集中管理，将用户认证独立出来，为邮件系统的随时扩充提供方便。
公共查询服务，提供人名查询、地址查询和机构查询等。
用于网络寻址。作为网络寻址中介，供用户或应用程序获得所需的网络地址。如Netmeeting通过目录服务呼叫联系人，动态VPN服务器之间通过目录服务获取对方的IP地址。

 

5. 目录服务软件

随着Internet和电子商务的迅速发展，目录系统广泛受到客户和IT开发厂商的重视，目录服务软件也日趋成熟。
1）．与网络操作系统集成的目录服务软件
主流的操作系统厂商都推出与操作系统紧密集成的系统级目录服务软件。
微软从Windows 2000开始进一步强化网络资源的集中管理和配置，推出了Active Directory。Active Directory（通常译为活动目录）是一种超级目录服务，便于集中部署和管理整个网络资源，能够减轻网络管理负担，提高管理效率，特别适合规模较大的企业网络。Active Directory支持LDAP v2和LDAP v3，能够与其他供应商的目录服务进行互操作。
Novell公司从其网络操作系统NetWare 4.0开始支持NDS目录服务，在目录服务领域遥遥领先。Novell eDirectory是跨平台的解决方案，可让用户充分利用Windows、NetWare、Linux、AIX及Solaris系统。作为可用于简化用户身份及存取权限管理的目录服务，该软件已迅速成为当今复杂网络的重要构成部分。企业通过部署eDirectory，可为分散于任何地方的用户、合作伙伴及客户提供实时、以身份为基础的资源，同时又能确保系统的安全。
Linux平台有免费的LDAP目录服务器软件，如Michigan大学开发的免费软件包和Openldap组织基于该开发包提供的Openldap免费软件发行包，其中Openldap发行包的安装配置方法更加简单，RedHat从6.1版开始包含Openldap软件包。
2）．软件厂商提供的目录服务软件
许多软件厂商也开发一些目录服务软件，供用户构建自己的目录服务器。
微软在Exchange Server系统中提供了对LDAP v2和LDAP v3的支持。
IBM将LDAP作为其电子商务的核心组成部分，拥有多个目录服务系统，如Domino、SecureWay等。IBM HTTP Server LDAP插件允许由目录执行认证和授权，降低因在本地维护每个Web服务器的用户和组信息而带来的管理开销。
Sun的目录服务器产品的知名度非常高。iPlanet Directory Server是目前具有最高应用性能的用户管理目录服务器产品，它具有在单个服务器上支持数百万用户的能力，支持每秒数千次查询的服务能力，提供电子商务应用的用户名和口令身份认证能力，能够有效地与现存目录系统集成，为具有大量用户信息管理的企业提供用户管理的基础服务。Sun ONE目录服务器以LDAP为基础，可以与现有的系统实现充分整合，可为各类企业提供用户管理基础架构，用于管理大量信息，支持各种高级安全功能，具有运营商级的伸缩性，具有出众的性能和可用性。
Netscape凭借其在Internet和电子商务方面的技术和市场优势，推动目录服务向Internet应用方面迅速成长。Directory Server是其提供的目录服务器软件，能够与现存的系统集成。
还有一些中小型目录服务器产品，如SurgeLDAP是由NetWin公司提供的一款能够快速构建全功能的LDAP v3目录服务器的软件，支持许多模式（Schema），集成Web用户访问。感兴趣的读者可到站点http://netwinsite.com下载试用。
3）．邮件目录服务器软件
由于LDAP服务器特别适合为多台邮件服务器提供集中统一的用户管理，许多邮件服务器软件都提供对LDAP的支持。如美国Mirapoint公司的邮件系统产品非常优秀，适合建立运营商级邮件系统。作为Mirapoint邮件系统的扩展，Mirapoint目录服务器为系统管理员提供了在单一管理点对传统电子邮件用户进行集中管理，包括储存用户资料和密码信息。其性能非常高，支持LDAP v3，支持数百万条记录和成千上万虚拟域名。它可以简单方便地集成于任何一个网络内，为需要一个统一用户和订户信息数据库的大型商业邮件系统提供一个健壮的LDAP平台。还有许多邮件服务器软件直接集成LDAP服务。
4）．目录服务客户端软件
可用于访问目录服务的客户端软件有很多。比较常见的是电子邮件客户端软件。无论是微软的Outlook Express还是Netscape的Netscape Messenger，都已将目录服务的查询接口集成到了软件的通讯簿中，用户可以选择在本地通讯簿中查询某个用户的通讯地址，或者在网上提供目录服务的主机上进行查询。通讯簿支持轻量级目录服务访问协议LDAP，因此可以访问Internet目录服务。另外，可在许多操作系统（Mac/Win32/Linux/Solaris）上运行的邮件客户机软件Mulberry（http://www.cyrusoft.com）也支持LDAP目录访问。LDAP Browser/Editor（http://www-unix.mcs.anl.gov/~gawor/ldap/index.html）是成熟的且功能丰富的目录管理客户端实用程序，提供可视化图形浏览界面，集成目录数据浏览和编辑功能，可连接到支持LDAP v2和LDAP v3的目录服务器。许多目录服务器都提供Web访问界面，让用户通过浏览器也可访问目录服务器。当然，很多目录服务应用是靠应用程序支持LDAP客户端功能的。