LDAP

LDAP

概述

LDAP，轻量级目录访问协议，LDAP是一个协议，比如OpenLDAP，微软的AD等产品就是根据LDAP访问数据。

​ 目录是一个为查询、浏览和搜索而优化的数据库，它呈树状结构组织数据，就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录天生是用来查询的。

LDAP是开放的Internet标准，支持跨平台的Internet协议，在业界中得到广泛认可的，并且市场上或者开源社区上的大多产品都加入了对LDAP的支持，因此对于这类系统，不需单独定制，只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”，可以大大降低重复开发和对接的成本。

基本模型

• 目录树：一个目录服务系统中，整个目录信息集可以表示为一个目录信息树，如上图，每个节点都是一个条目Entry

• Entry：条目，目录管理的对象，LDAP中最基本的单位，每个条目会有至少一个属性，每个条目都有一个专有标识DN，如"c=US,st=California"，“c=US,st=California,o=Acme,ou=Sales”，都是一个唯一标识的条目。通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的
  

• 属性：每个条目都可以有很多属性，比如常见的人都有姓名、地址、电话等属性。每个属性都有名称及对应的值，属性值可以有单个、多个。比如你有多个电话，邮箱。比如上面的o,ou,cn,st等都是一个个属性。

• 属性类型： 每个属性都有唯一的属性类型，属性类型约定属性值的数据格式和语法类型。比如，属性cellPhone的类型为telephoneNumber，它规定了电话号码是由数字组成的，其中允许插入一些分隔符，如连接符、括号、空格等。属性类型也约定了属性值是否可以有多少个

• 对象类：对象类（ObjectClass）是属性的集合，LDAP预想了很多人员组织机构中常见的对象，并将其封装成对象类。比如人员（person）类，含有姓（sn）、名（cn）、电话(cellPhone)、密码(userPassword)等属性，单位职工(organizationalPerson)是人员(person)的继承类，除了上述属性之外还含有职务（title）、邮政编码（postalCode）、通信地址(postalAddress)等属性。通过对象类可以方便的定义条目类型。每个条目可以直接继承多个对象类，这样就继承了各种属性。如果2个对象类中有相同的属性，则条目继承后只会保留1个属性。对象类同时也规定了那些属性是基本信息，必须含有(Must 活Required，必要属性)：哪些属性是扩展信息，可以含有（May或Optional，可选属性）。 对象类有三种类型：结构类型（Structural）、抽象类型(Abstract)和辅助类型（Auxiliary）。结构类型是最基本的类型，它规定了对象实体的基本属性，每个条目属于且仅属于一个结构型对象类。抽象类型可以是结构类型或其他抽象类型父类，它将对象属性中共性的部分组织在一起，称为其他类的模板，条目不能直接集成抽象型对象类。辅助类型规定了对象实体的扩展属性。虽然每个条米只属于一个结构型对象类，但可以同时属于多个辅助型对象类。对象类本身是可以相互继承的，所以对象类的根类是top抽象型对象类。

• RDN：如果DN是绝对路径的话，RDN就是相对路径，如"ou=Sales","c=US"都是RDN
• .ldif文件：用来存储LDAP服务端的基础数据文件

LDAP中常用的属性

o：organization（组织-公司）
ou：organization unit（组织单元-部门）
c：countryName（国家）
dc：domainComponent（域名）
sn：surname（姓氏）
cn：common name（常用名称）

一个条目的构成

dn: uid=ben,ou=people,dc=didispace,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: didi
sn: zhaiyongchao
uid: didi
userPassword: {SHA}nFCebWjxfaLbHHG1Qk5UU4trbvQ=