LDAP协议

已于 2023-02-08 00:09:32 修改
阅读量2.2k 收藏 5
点赞数
分类专栏: 域安全 文章标签: 信息安全 网络 网络安全
于 2023-02-07 00:02:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/128894319
版权
LDAP
LDAP是轻型目录访问协议,活动目录存储了有关网络对象的信息,
并且让管理员和用户能够轻松查询和使用信息,LDAP支持跨平台,
可以单独在服务器上部署LDAP,实现与域控相同的功能,从而任何
应用都可以直接访问LDAP目录实现认证、信息获取、信息存储,
并不完全依赖域控。
LDAP基础
1.信息模型:
	LDAP使用面向对象的数据库,用户对象、计算机对象等
	对象类都拥有类和属性,设计时赋予了类继承特性,降低了复杂度。
2.命名模型:
	LDAP中每个对象都用拥有独一无二的DN属性和RDN,DN是
	整个树种唯一的表示,RDN是DN中每一个用逗号分割的表达式,
	如:CN=Admin,DC=a3sroot,DC=com中就有3个RDN。
3.功能模型:
	包括查询类操作如:搜索、比较、,更新类操作类如:添加条目
	、删除条目、修改条目或条目名,认证类操作:如绑定、解绑的、
	其他操作如放弃和扩展操作。
4.安全模型:
	LDAP中的安全模型提供三种认证机制:匿名认证、基本认证和SASL认证。
	匿名认证:
		不对用户进行认证、该方法仅对完全公开的方式适用。
	基本认证:
		通过用户名和密码进行身份验证、又分为简单密码认证和摘要密码认证。
	SASL:
		SASL认证是在SSL和TLS安全通道基础上进行的身份验证,
		包括数字证书的认证。
LDAP应用特性
1.名唯一:
	不能出现相同对象名如拥有一个叫Admin的用户,将不允许出现一个admin组。
2.可继承:
	可动态继承访问权限,比如子对象通过继承将自动获取并推迟父对象的访问权限,
	如果更改父对象的访问权限,相同的更改会应用到父对象中的所有子对象。
3.可复制:
	基于微软的只是一致性检查器(KCC)进行信息复制,KCC是一个在所有域控上运行
	并为林生成复制拓展的内置进程,会根据网络状态和目录服务配置创建单独的复制拓展。
4.跨平台:
	可以在任何计算机平台上使用LDAP客户端进行访问目录服务,可以很容易
	在定制软件上完成LDAP支持。
5.树结构:
	活动目录金支持OpenLDAP中的树形结构,这样可以更好地体现域内组织架构。
全局编录服务器
全局编录服务器(Global Catalog GC),默认情况下想新林创建的第一个域控服务器是
GC,此后将新的域控添加到已存在的域中需要指定成为GC,GC存储的是有关整个林中
所有域的所有对象信息,而不是仅存储一个活动目录域中的信息,KCC(一致性检查器)创建
复制拓扑,确保每一个活动目录都可以将分区内容传递到林中每一个GC中。
默认情况下域中的GC上监听端口TCP3268(或者3269用于SSL上的LDAP),
直接使用LDAP客户端连接GC相应端口即可访问全局目录,当使用该端口连接
将只允许只读方式。
LDAP定义
LDAP使用的是X.500标准定义的拥有以下名词DC、OU、CN、DN、RDN、UPN、
Container、FQDN。
DC(域组件 Domain Component):
	如果你的你的域名叫做ldap.com的话那么你的DC全称叫做
	DC=ldap,DC=com

在这里插入图片描述

OU(Organiaztion Unit 组织单位):
	OU最多可以拥有四级每级最多32个字符,OU中包含对象、容器
	还可以包含其他组织单位,组织单位还可以链接组策略。

在这里插入图片描述

在这里插入图片描述

CN(Common Name 通用名称):
	是对象的名称比如在Usersr容器下有一个叫test的用户
	CN=test,CN=Users,DC=xie,DC=com
	可以发现看到了有两个CN这里的CN=Users比较特殊他不是OU而是容器,
	下面将讲解说明是容器。

在这里插入图片描述

Container(容器):
	容器相较于OU最大的区别就是容器可以包含其他对象、比如用户、计算机等
	但是不能在嵌套其他容器或者OU,而OU是可以嵌套其他OU或者容器的。
	比如Users容器下就是所有用户。
	CN=Users,DC=xie,DC=com
DN(Distinguished Name 可分辨名称)
	AD活动目录中每个对象都拥有完全唯一的DN,DN有三个属性分别是DC、OU、CN、
	DN也可以表示为LDAP的某个目录以入域的主机名DESKTOP-IOFJA89为例子,
	它存在于Computers容器中那么他的DN全程就是,CN=DESKTOP-IOFJA89,CN=Computers,DC=xie,DC=com

在这里插入图片描述

RDN(相对可分辨名称):
	与目录结构无关,比如RDN叫CN=Administrator,CN=Administrator,CN=Users,DC=xie,DC=com
	可以具有相同的RDN,但不能具有相同的DN。

UPN(User Principal Name 用户主体名称):
	用户的可分辨名称,用户登录时最好输入UPN,因为无论用户的账号被移动到了那个域中
	UPN都不会变化,比如admin的UPN叫做admin@xie.com
FQDN(Fully Qualified Domain Name 全限定域名)
	跟UPN其实差不多,UPN代表是用户那么FQDN代表的就是机器,比如DESKTOP-IOFJA89为例子FQDN
	叫做DESKTOP-IOFJA89.xie.com
虚构之人
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AD域服务器的搭建(4)--LADP概述
✍千里之行,始于足下 ^,^
05-06 8347
LADP 1.概念 LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写。 LDAP是一种开放Internet标准,LDAP协议是跨平台的 的Interent协议 LDAP标准实际上是在X.500标准基础上产生的一个简化版本,它是基于X.500标准的, 与X.500不同,LDAP支持TCP/IP(即可以分布式部署) 常见的目录服务软件 ...
LDAP协议 学习
prettyX的博客
08-01 997
LDAP简介 LDAP(Light Directory Access Portocol)是基于X.500标准的轻量级目录访问协议LDAP协议之前有一个X.500 DAP协议规范,该协议什么复杂,是一个重量级的协议,后来对X.500进行了简化,诞生了LDAP协议,与X.500相比变得较为轻量,其实LDAP协议依然复杂。 LDAP约定了Client、Server之间的信息交换格式、使用的端口号、认证方式等内容。 而LDAP协议的实现,有着众多版本,例如微软的Active Directory是LDAP在W
LADP基础培训,初步了解LADP
05-04
LADP基础培训,初步了解LADP,基本命令和结构介绍。
LDAP介绍及使用
热门推荐
椰汁菠萝
03-29 2万+
一、LDAP介绍 目录服务(Directory Service) 目录是专门为搜索和浏览而设计的专用数据库,支持基本的查找和更新功能。 提供目录服务的方式有很多。不同的方法允许将不同类型的信息存储在目录中,对如何引用,查询和更新该信息,如何防止未经授权的访问等提出不同的要求(这些由LDAP定义)。一些目录服务是本地的,提供本地服务;一些目录服务是全球性的,向更广泛的环境(例如,整个Internet)提供服务。全局服务通常是分布式的,这意味着它们包含的数据分布在许多机器上,所有这些机器协作以提供目录服务。通常
LDAP 的介绍与应用
wyfvsfy的博客
09-07 5520
LDAP 内置的 ObjectClass 不满足业务需求时,通过自定义方式创建自己的Schema,可以通过如下方式进行。
LDAP协议:轻量目录访问协议详解及应用场景
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
06-05 1970
LDAP协议:轻量目录访问协议详解及应用场景
LDAP协议概念
qq_38981656的博客
05-06 1442
Lightweight Directory Access Protocol 一个文件系统,类似目录和文件树;提供了目录服务的所有功能,包括目录搜索、身份认证、安全通道、过滤器等等;由于大多数目录服务都是用于系统的安全认证部分比如:用户登录和身份验证;OpenLDAP 是使用 OpenSSL 来实现 SSL/TLS 加密通信的。 objectClass 含义 olcGlobal 全局配置文件类型, 主要是cn=config.ldif 的配置项 top 顶层的对象 organizatio
java测试LDAP协议
04-16
采用java 实现LDAP协议的创建用户和查询用户,也就是WIndows AD域控的操作。
LDAP协议基础概念
01-29
LDAP协议主要用于存储静态信息,如公司设备信息、员工详情、合同与账号信息以及凭证信息等,这些数据通常是一次写入,多次读取的类型。 在数据结构方面,LDAP采用了一个树状模型,即目录树(Directory Tree)。这个...
基于LDAP协议的单点登录系统的研究与设计
07-05
介绍了LDAP协议的技术原理,并对基于LDAP技术的单点登录系统做出了研究,旨在设计一种高效、安全的用户登录系统。
LDAP简介
weixin_53273474的博客
12-28 4781
LDAP是LightWeight Directory Access Protocol的简称,是一种轻量目录访问协议。它是基于X.500标准的,可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAP man RFC网页中找到。简单来说,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。LDAP是一个用来发布目录信息到许多不同资源的协议
LDAP入门
罗小爬的技术宝书
03-05 2936
本文主要介绍了LDAP相关概念,讲解了使用OpenDJ在Windows系统快速搭建Ldap服务端及其管理工具control-panel、Apache Directory Studio,旨在帮助读者快速入门LDAP
LDAP——实现用户统一登录管理
菜鸟琪
07-26 1万+
通过本文你叫了解什么所LDAP,以及LDAP的用途。OpenLDAP的部署方式与集成第三方系统教程。
LDAP协议和AD活动目录的讲解
最新发布
m0_49864110的博客
12-06 2782
Search Res Ref 服务器返回给客户端供参考的查询结果(如果LDAP服务器存储了其他LDAP服务器的目录信息,且查询的Base-DN一致,那么此报文信息中会列出其他LDAP服务器的URL地址)在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,在树根一般定义为国家(c=CN)或域名(dc=com),再往下则往往定义一个/多个组织单元OU(在定义OU时要避免从一个OU向另一个OU移动LDAP记录)安全组是定义资源和对象权限的任意访问控制列表(DACL)中的组;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值