LDAP(Lightweight Directory Access Protocol)是轻量级目录访问协议。目录是以层次结构排列的对象的信息集合,是一个允许用户或者应用程序根据格式化的参数在其中检索资源的数据仓库。如果在目录中只有一个对象的格式化参数值与用于检索的参数值相同,则目录会找出这个对象。如果目录中有多个对象的格式化参数值与用于检索的参数值相同,目录会找出所有这些对象。所以目录是将数据以对象的形式存储,并且可以根据对象的属性来检索对象的数据仓库。
LDAP 查询效率高,具有树状的信息管理模式、分布式的部署框架以及灵活而细腻的访问控制,因此被广泛地应用于基础性、关键性信息的管理,如用户信息、网络资源信息等。LDAP 定义了与目录服务进行通信所使用的操作,比如如何找到目录中的实体、如何描述实体属性以及许多安全特性。这些安全特性可用于对目录进行身份验证,控制对目录中实体的访问。
在 LDAP 标准中没有定义在目录服务器上存储信息的方式。为了实施 LDAP 服务器,可以使用不同的技术,包括简单的平面文件、索引文件和相关数据库。无论使用什么技术来实施目录,从 LDAP 客户端对目录的所有访问都使用相同的标准协议:LDAP。为此,尽管存在不同的内容结构,这些目录都被称为 LDAP 目录服务器。LDAP 被广泛应用于数据库的身份认证操作中,原因是:
1、有效地解决众多网络服务的用户账户问题;
2、规定了统一的身份信息数据库、身份认证机制和接口,实现了资源和信息的统一管理,保证了数据的一致性和完整性;
3、以树状的层次结构来描述数据信息的这种模型适应了众多行业应用的业务组织结构。
在企业范围内,可以让运行在几乎所有计算机平台上的所有应用程序从 LDAP 目录中获取信息。在 LDAP 目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等。通过把 LDAP 目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,使需要认证的应用都通过 LDAP 进行认证认证后用户的所有信息都存储在 LDAP Server 中。终端用户在需要使用公司内部服务时,都必须通过 LDAP 服务器的认证。每个员工只需记住一个密码,在需要修改用户信息时可以通过管理员提供的 Web 界面直接修改 LDAP Server 中的信息。
LDAP 支持强认证方式,可以达到很高的安全级别。在国际化方面,LDAP 使用了 UTF-8编码来存储各种语言的字符。目前,很多公司都把 LDAP 和自己的产品、技术结合在一起,增加 LDAP 在各个领域中的有效性,这一切都来源于 LDAP 是一个开放的协议,很容易和其他标准协议共存。
与 GBase8s 在 UNIX 和 Linux 中使用 PAM 类似,可在 Windows 中为不同的验证机制设置并配置 LDAP,用户可以在认证系统用户身份时使用 LDAP 认证,并且需要为特定的 LDAP 身份验证创建自已的 LDAP 验证模块。验证模块是一个 DLL,
通常位于%INFORMIXDIR%dbssodir\lib\security 目录中。
模块参数 在 %INFORMIXDIR%\dbssodir\pam.conf 文件中列出。
具有完整功能的 LDAP 验证模块的源代码以及所需配置文件的样例
都包括在%INFORMIXDIR%\demo\authentication 目录中。
在访问 LDAP 目录中的信息之前,应用程序或用户首先需要通过 LDAP 服务器的身份验证,身份验证过程被称为 LDAP 服务器绑定。必须对 LDAP 目录中的信息应用访问控制,从而防止匿名用户添加、删除或修改信息。在默认情况下,访问控制允许任何人对LDAP 中的数据库和节点条目进行读访问。读和写访问只授权给目录管理员以及数据库、节点条目和用户配置文件的对象所有者或创建者。如果用户不具备目录管理员访问权限,那么将无法访问另一名用户的配置文件。LDAP 认证模块支持密码、响应回答两种认证方式,可以使用 PAM 设置文件的模板对 LDAP 认证模块进行设置。在安装 LDAP 模块时会自 带 一 个 LDAP 模 块 设 置 文 件 的 模 板 pam_ldap_teml 。 首 先 将 模 板 复 制到%INFORMIXDIR%\dbssodir\etc 目录下并命名为 pam.conf,再对该文件进行修改。具体
的修改细节可以参考 pam.conf_teml 文件。
在创建数据库时,每个数据库服务器向 LDAP 目录提供数据库信息。GBase8s 提供AIX、Solaris、HP-UX 11.11、Windows 等多个客户端支持。
629
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
