openldap 2.3 管理员指南 1-4

原文Openldap software2.3 Administrator's Guide

1-7章基本参照[LDAP][翻译]OpenLDAP管理员指南(仅前七章) ，此文是2.1版本的管理员指南翻译，只翻译到第七章，所以本文1-7章，只改动了极少的之处。

 

OpenLDAP 资源

 

Resource             |URL

Document Catalog      http://www.OpenLDAP.org/doc/

Frequently Asked       Questions http://www.OpenLDAP.org/faq/

Issue Tracking System   http://www.OpenLDAP.org/its/

Mailing Lists          http://www.OpenLDAP.org/lists/

Software Pages         http://www.OpenLDAP.org/software/

Support Pages          http://www.OpenLDAP.org/support/

 

声明

OpenLDAP项目包括了一队的志愿者。如果没有他们在的时间和精力上的奉献就没有本文档。OpenLDAP项目应该同时感谢密歇根（Michigan）大学LDAP组织，他们在LDAP理论基础方面的研究对OpenLDAP项目的实现功不可没。 本文档也借鉴了密歇根（Michigan）大学的LDAP文档: ：《SLAPD和SLURPD管理员指南》。

 

修订

对本文档的加强和修订方面的建议将通过OpenLADP项目组的Issue Tracking System (http://www.openldap.org/its/)提交。

 

关于本文档

本文档是通过Ian Clatworthy所开发的Simple Document Format(http://search.cpan.org/src/IANC/sdf-2.001/doc/) 文档系统制作完成的。SDF工具可从CPAN (http://search.cpan.org/search?query=SDF)获得。

 

1. 介绍OpenLDAP目录服务

本文档详细讲解了如何构建，配置和操作OpenLDAP来提供目录服务。其中包括配置并运行独立的LDAP守护程序slapd(8)以及负责独立LDAP升级和复制的应用程序的守护程序slurpd(8)的细节. 它既是新手的上路指南，也为经验丰富的管理员提供参考。本节将对目录服务，特别是slapd(8)所提供的目录服务做一个简单的介绍。

 

1.1 什么是目录服务？

目录是在读取，浏览和搜索方面做了特殊优化的一类数据库。目录包含基于属性的，描述性的信息，并且支持高级的过滤功能。目录一般来说不支持大多数事务型数据库所支持的高吞吐量和复杂的更新操作。就算目录允许进行更新操作的话，也是要么全部，要么都不的原子操作。目录的长处在于为大量的查询和搜索操作提供快速反馈。为了保证数据的可用性和可靠性，它们在着眼于减少反应时间的同时也可能具备广泛的复制信息的能力。当目录信息被复制时，复制方与被复制方有暂时的不一致是可以的，只要它们最终仍然保持同步。

 

可以有多种不同的方式来提供目录服务。不同的目录所允许存储的信息是不同的，在信息如何被引用，查询，更新以及防止未经授权的访问等问题上不同的目录的处理方式也有诸多的不同。一些目录服务是本地的，只提供受限的服务（比如，单机上的finger服务）。另一些服务是大范围的（global），提供广阔得多的服务（比如面向整个因特网）。大范围的服务通常是分布式的，这也就意味着数据是分布在多台机器上的，这些机器一起来提供目录服务。典型的大范围服务定义一个统一的名称空间（namespace）来给出一个相同的数据视图（data view），而不管你相对于数据所在的位置。DNS是一个典型的大范围分布式目录服务的例子。

 

1.2 什么是LDAP？

 

LDAP是Lightweight Directory Access Protocol（轻量级目录访问协议）的缩写。正如它的名字所表明的那样，它是一个轻量级的目录访问协议，特指基于X.500的目录访问协议的缩微版本。LDAP运行在TCP/IP或者其他的面向连接的传输服务之上。LDAP完整的技术规范由 RFC2251 "The Lightweight Directory Access Protocol (v3)" 和其他几个在RFC3377中定义的文档组成。本节将从用户的角度对LDAP做一个大致的了解。

 

什么样的信息可以存储在目录当中？LDAP信息模型是基于条目的（entry）。一个条目就是一些具有全局唯一的标识名（Distinguished Name,简写做DN）的属性的集合。DN用于无二义性的指代一个唯一的条目。条目的每一个属性都有一个类型（type），一个或者多个值（value）。类型（type）往往是特定字符串的简写，比如用"cn"指代"common name",或者"mail"指代电子邮件地址。值（value）的语法依赖于类型（type）。比如，类型为cn的属性可能包含值Babs Jensen。类型为mail的属性可能包含值"babs@example.com"。类型为jpegPhoto的属性可能包含二进制格式的JPEG图象。

 

信息在目录中是如何组织的？在LDAP中，条目是按树状的层次结构组织的。传统上，这个结构往往是地理界限或者组织界限的反映。代表国家的条目位于整个目录树的顶层。之下的条目则代表各个州以及国家性的组织。再下面的条目则代表着组织单位，个人，打印机，文件，或者你所能想到的其他东西。图1.1显示了按照传统命名方式组织的LDAP目录信息树。

图1.1: LDAP目录树(传统命名方式)

 

目录树也可以按照因特网域名结构组织。因为它允许按照DNS对目录服务进行定位，这种命名方式正变得越来越受欢迎。图1.2显示了按照域名进行组织的一个LDAP目录树的例子。

图1.2：LDAP目录树（域名命名方式）

 

另外，LDAP允许你通过使用一种叫做objectClass的特殊属性来控制哪些属性是条目所必须的，哪些属性是条目可选的。objectClass属性的值是由条目所必须遵从的方案（schema）来定义的。

 

信息是如何被引用的？一个条目是通过它的标识名来引用的。而标识名是由相对标识名（Relative Distinguished Name或者RDN）和它的父条目名连在一起来构成的。比如，在因特网命名的例子中，Barbara Jensen条目有相对标识名uid=babs和标识名uid=babs,ou=People,dc=example,dc=com。完整的DN格式在 RFC2253，"Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names"中描述。

 

信息是如何被访问的？LDAP定义了一组查询和更新目录的操作。支持的操作包括从目录中添加和删除条目，更改已有的条目，更改已有条目的名字。然而，大多数情况下LDAP是用于搜索目录中的信息的。通过指定搜索过滤器，LDAP可以在目录的相关部分搜索相符的条目。满足过滤条件的每一个条目都能收到请求信息。

 

比如，你可能想搜索位于dc=example,dc=com目录子树下的叫Barbara Jensen的人的条目，并获取找到的每个条目的email地址。LDAP可以让你轻松的完成这一切。或者你想搜索直接位于st=California,c=US子树之下且名称中有Acme字符串，并且有一个传真号的组织的条目。LDAP也让你能轻松地完成这一切。下一节将详细描述更多的有关你能用LDAP做什么和它如何对你有用的诸多细节。

 

怎样保护信息不受未经授权的访问？一些目录服务不提供保护，允许信息对任何人可见。LDAP提供了一套机制来对客户进行身份确认，或者让客户证明他拥有连接到服务器的身份，这无疑为对服务器进行全方位的访问控制铺平了道路，从而确保了服务器上所包含信息的安全。LDAP也支持privacy和integrity的安全服务。

 

1.3 LDAP是怎样工作的？

 

LDAP目录服务是基于客户--服务器模式的。一个或者多个LDAP服务器包含着组成整个目录信息树（DIT）的数据。客户连接到服务器并且发出一个请求（question）。然后服务器要么以一个回答（answer）予以回应，要么给出一个指针，客户可以通过此指针获取到所需的数据（通常，该指针是指向另一个LDAP服务器）。无论客户连到哪个LDAP服务器，它看到的都是同一个目录视图（view）。这是LDAP这类全局目录服务的一个重要特征。

 

1.4 什么是X.500？

 

从技术上来说，LDAP是一个到X.500目录服务的目录访问协议，X.500是一个OSI目录协议。最初，LDAP客户通过网关（gateway）访问X.500目录服务。这个网关在客户和网关之间运行LDAP和X.500目录访问协议（Directory Access Protocol ，DAP），而X.500目录访问协议是位于网关和X.500服务器之间的。DAP