AD域和LDAP协议
1、LDAP
1.1 常见的目录服务软件
- X.500
- LDAP
- Actrive Directory,Microsoft公司
- NIS
1.2 LDAP特点
LDAP是轻量目录访问协议
(Lightweight Directory Access Protocol)的缩写。- LDAP是一种开放Internet标准,LDAP协议是跨平台的Interent协议
- LDAP标准实际上是在X.500标准基础上产生的一个简化版本,它是基于X.500标准的, 与X.500不同,LDAP支持TCP/IP(即可以分布式部署)
- 目录服务和数据库很类似,但又有着很大的不同之处。数据库设计为方便读写,但目录服务专门进行了读优化的设计,因此不太适合于经常有写操作的数据存储。
LDAP的结构用树来表示
,而不是用表格。正因为这样,就不能用SQL语句了- LDAP可以很快地得到查询结果,不过在写方面,就慢得多(读快,写慢)
- LDAP提供了静态数据的快速查询方式
- Client/server模型
① Server 用于存储数据
② Client提供操作目录信息树的工具
③ 这些工具可以将数据库的内容以文本格式(LDAP 数据交换格式,LDIF)呈现在您的面前 - LDAP存储这样的信息最为有用: 也就是
数据需要从不同的地点读取但是不需要经常更新
,例如:
① 公司员工的电话号码簿和组织结构图
② 客户的联系信息
③ 计算机管理需要的信息,包括NIS映射、email假名,等等
④ 软件包的配置信息
⑤ 公用证和安全密钥
1.3 LDAP目录结构
在LDAP中目录是按照树型结构组织——目录信息树(DIT)
DIT是一个主要进行读操作的数据库
1.3.1 DIT
DIT由条目(Entry)组成,条目相当于关系数据库中表的记录;
1.3.2 条目
条目是具有分辨名DN(Distinguished Name)的属性–值对(Attribute-value,简称AV)的集合
1.3.3 DN
DN,Distinguished Name即分辨名
- 在LDAP中,一个条目的分辨名叫做“DN”,
DN是该条目在整个树中的唯一名称标识
- DN相当于关系数据库表中的
关键字(Primary Key)
,是一个识别属性,通常用于检索
常见的两种DN:
基于cn(姓名) | cn=Fran Smith,ou=employees,dc=foobar,dc=com最常见的CN是/etc/group转来的条目 |
---|---|
基于uid(User ID) | uid=fsmith,ou=employees,dc=foobar,dc=com最常见的UID是/etc/passwd和/etc/shadow转来的条目 |
DN的三个参数: