前言
LDAP的基本概念和工作原理。
一、什么是LDAP
LDAP(Lightweight Directory Access Protocol)是轻量目录访问协议。在实践中,主要用于为各种应用提供统一标准的认证机制。比如:Samba、ssh、ftp、邮箱、网页等不同的应用系统,可以通过LDAP认证功能实现一套用户名和密码登录,不同的用户又可以赋予不同的权限。
二、架构
1. 常见名词缩写
DIB - Directory Information Base,目录信息库(由DIT、Entry和vlue组成)
DIT - Directory Information Tree,目录信息树
DUA - Directory User Agent,用户代理
DN - Distinguished Name,唯一名称(如net)
RDN - Relative Distinguished Name,相对唯一名称,上层节点的DN和本节点的RDN构成本节点的DN(如:baz.net)
2. 常见属性的缩写
dc - domain component,域名
o - organization name,机构名
ou - organization unit name,机构的单位名
cn - common name,姓名
3. 示意图
由小到大串起来就构成一条用户信息:ron.people.baz.net
三、程序组成
一般来讲,ldap由slapd主程序和ldap-utils工具集两部分组成,安装这两个软件就能正常工作。
有关数据分布于以下文件夹:
/etc/ldap:存有ldap的主要配置,其中schema文件夹存有ldap的属性集,可以讲一些外部应用(如Samba)的模块拷贝到这里,然后导入ldap的数据库。 slapd.d文件夹存有配置文件,slapd运行过程中需要调用这些文件。这里的每一个文件都不建议直接编辑,而是应该通过ldapadd(添加)、ldapmodify(编辑)、ldapdelete(删除)等命令进行操作。
/var/lib/ldap:存有ldap的数据库
/usr/share/slapd:存有ldap的配置模板
总结
未完待续。