LDAP服务

最新推荐文章于 2024-05-09 08:30:00 发布
最新推荐文章于 2024-05-09 08:30:00 发布
阅读量1.3w 收藏 7
点赞数 1
分类专栏: 服务与应用 文章标签: ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yolo2016/article/details/121721723
版权

LDAP服务

基本概念

Openldap 官方入口 ===》 OpenLDAP Software 2.6 Administrator’s Guide

LDAP定义

LDAP是轻量目录访问协议,英文全称是LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL,一般都简称为LDAP。

读写效率非常高: 对读操作进行优化的一种数据库,在读写比例大于7比1的情况下,LDAP会体现出极高的性能。这个特性正适合了身份认证的需要。
开放的标准协议: 不同于SQL数据库,LDAP的客户端是跨平台的,并且对几乎所有的程序语言都有标准的API接口。即使是改变了LDAP数据库产品的提供厂商,开发人员也不用担心需要修改程序才能适应新的数据库产品。这个优势是使用SQL语言进行查询的关系型数据库难以达到的。
强认证方式:可以达到很高的安全级别。在国际化方面,LDAP使用了UTF-8编码来存储各种语言的字符。
OpenLDAP开源实现: OpenLDAP还包含了很多有创造性的新功能,能满足大多数使用者的要求。OpenLDAP是其中最轻便且消耗系统资源最少的一个。OpenLDAP是开源软件,近年国内很多公司开发的LDAP产品都是基于OpenLDAP开发的。
灵活添加数据类型:LDAP是根据schema的内容定义各种属性之间的从属关系及匹配模式的。例如在关系型数据库中如果要为用户增加一个属性,就要在用户表中增加一个字段,在拥有庞大数量用户的情况下是十分困难的,需要改变表结构。但LDAP只需要在schema中加入新的属性,不会由于用户的属性增多而影响查询性能。
数据存储是树结构:整棵树的任何一个分支都可以单独放在一个服务器中进行分布式管理,不仅有利于做服务器的负载均衡,还方便了跨地域的服务器部署。这个优势在查询负载大或企业在不同地域都设有分公司的时候体现尤为明显。

LDAP的特点

1.LDAP 是一种网络协议而不是数据库,而且LDAP的目录不是关系型的,没有RDBMS那么复杂,
2.LDAP不支持数据库的Transaction机制,纯粹的无状态、请求-响应的工作模式。
3.LDAP不能存储BLOB,LDAP的读写操作是非对称的,读非常方便,写比较麻烦,
4.LDAP支持复杂的查询过滤器(filter),可以完成很多类似数据库的查询功能。
5.LDAP使用树状结构,接近于公司组织结构、文件目录结构、域名结构等我们耳熟能详的东东。 LDAP使用简单、接口标准,并支持SSL访问。

LDAP的主要应用场景

1.网络服务:DNS服务
2.统一认证服务:
3.Linux PAM (ssh, login, cvs. . . )
4.Apache访问控制
5.各种服务登录(ftpd, php based, perl based, python based. . . )
6.个人信息类,如地址簿
7.服务器信息,如帐号管理、邮件服务等

产品

LDAP从下面厂商获得广泛支持:
Apache(通过Apache目录服务器)
Apple(通过Open Directory)
AT&T
Banyan
HP
IBM/Lotus
ISODE(通过M-Vault server)
Microsoft(通过Active Directory)
Netscape(现在是Sun Microsystems和Red Hat的产品)
Novell(通过eDirectory)
OctetString(通过VDE服务器)
Oracle(通过Oracle Internet Directory)
Red Hat(通过Fedora目录服务器)
西门子公司(通过DirX服务器)
Sun(通过iPlanet目录服务器)
此外还有开源/自由软件的实现——如OpenLDAPApache HTTP Server使用代理服务器(通过模块mod_proxy)支持LDAP。

ldap的信息模型

LDAP的信息模型是建立在"条目"(entries)的基础上。一个条目是一些属性的集合,并且具有一个全局唯一的"可区分名称"DN,一个条目可以通过DN来引用。每一个条目的属性具有一个类型和一个或者多个值。类型通常是容易记忆的名称,比如"cn"是通用名称(common name) ,或者"mail"是电子邮件地址。条目的值的语法取决于属性类型。比如,cn属性可能具有一个值"Babs Jensen" 。一个mail属性可能包含"bbs@kevin.com" 。一个jpegphoto属性可能包含一幅JPEG(二进制)格式的图片。

LDAP的objectClass

LDAP通过属性objectClass来控制哪一个属性必须出现或允许出现在一个条目中,它的值决定了该条目必须遵守的模式规则。可以理解为关系数据库的表结构。接下来会用到的objectClass有
在这里插入图片描述

LDAP常用关键字列表

ldap的entry是由各种字段构成,可以理解为关系数据库的字段。

在这里插入图片描述
这里,我们把dn当做用户唯一主键, cn是common name,应该等同于用户名,因为用户名必须唯一,通常为邮箱前缀,比如ryan.miao. sn作为姓氏, uid作为用户id。通常用户id也是唯一的。所以在使用ldap做认证的时候,大概逻辑如下:

  1. 配置ldap host, admin, admin pass
  2. 用户登录时传递username
  3. 读取配置的ldap信息,查询cn或者uid等于username的数据
  4. 取出第一个记录, 获得dn,根据dn和password再次去ldap服务器认证。即我们必须保证cn或uid是全局唯一的,认证通常需要进行两次。原因就在于dn没办法根据用户名计算出来。

LDAP用户组织模型

在这里插入图片描述
在这里插入图片描述

OpenLDAP部署

OpenLDAP服务端

OpenLDAP客户端配置

验证

getent group
getent passwd
id

ldap命令

ldap主要命令有ldapadd, ldapmodify, ldapsearch. 我们用到的操作项有
在这里插入图片描述

//ldap密码加密
[root@sysadmin slapd.d]# slappasswd -s 123456
{SSHA}L7+DyjMa7U7XOU/V0euIKa1ef+xBoLf9



//搜索信息
ldapsearch -LL -Y EXTERNAL -H ldapi:///  -b dc=test,dc=com

//添加用户,组信息
ldapadd -x -D 'cn=admin,dc=test,dc=com' -W -f  test.ldif 

//修改信息交互式
ldapmodify -a -H ldap://192.168.3.50:389 -D "cn=admin,dc=test,dc=com" -w 123456


//删除用户或者组
ldapdelete -x -H ldap://192.168.3.50:389  -D "cn=admin,dc=test,dc=com" -w 123456 "uid=admin,ou=People,dc=test,dc=com"
ldapdelete -x -H ldap://192.168.3.50:389  -D "cn=admin,dc=test,dc=com" -w 123456 "cn=testgroup,ou=Group,dc=test,dc=com"
ldapdelete -x -H ldap://192.168.3.50:389  -D "cn=admin,dc=test,dc=com" -w 123456 "cn=osadmin,ou=Group,dc=test,dc=com"

管理工具

Ldapadmin

Download link ===⇒ 访问LDAP Admin官网下载
在这里插入图片描述

Phpldapadmin

参考资料

轻型目录访问协议
Ldap中文网
openldap介绍和使用
Openldap安装部署

yolo2016
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
LDAP Server
Robert's Log
03-31 893
今天终于把LDAP Server安装起来了,以前做过很久都没有运行起来,今天不知怎么来了精神,没有几下就搞定了,:)随后再贴出来安装步骤,其实很简单的,主要是增加记录那一块,还有slapd.conf的配置,其它问题都不大(装好了才这样说,也许这是一个坎,过去就是光明大道,过不去就是黑暗无边的世界),dc是最多支持五级域名,这是一个重点.[root@mail openldap]# cat ldap.
LDAP 服务器搭建
(>^ω^<)喵
10-26 3791
1、Nginx反向代理服务器:这种方式比较简单。网上有很多文章。需要安装JDK、Git、Gerrit、Nginx、apache2-utils和gitweb 等。 需要配置gerrit.config。创建gerrit账号用命令行的形式,必须登录一遍才能加入到gerit数据库,很不方便。 2、Apache2代理服务器:这种方式稍微复杂点,我搜了很多资料才完成。需要安装JDK、Git、Ger
LDAP简介
weixin_53273474的博客
12-28 4787
LDAP是LightWeight Directory Access Protocol的简称,是一种轻量目录访问协议。它是基于X.500标准的,可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAP man RFC网页中找到。简单来说,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。LDAP是一个用来发布目录信息到许多不同资源的协议。
搭建LDAP服务器详细流程
热门推荐
TJW729024716博客
04-06 1万+
本文详解的介绍了搭建LDAP服务器的详细流程,且亲自验证过。
服务器集群配置LDAP统一认证高可用集群(配置tsl安全链接)-centos9stream-openldap2.6.2
最新发布
ZL_1618的博客
05-09 1276
因之前集群为centos6,已经很久没升级了,所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似,但有些地方配置还是有变化,另外,铺天盖地的帮助文档有相当一部分是直接搬砖过来的,所以参考时容易出错,这里将自己实践的内容一一共享,让大家更方便,更实用。另外,openldap的配置一般都采用ldif文件配置后使用命令导入,如果有人写的是要直接修改config目录下的文件的话赶紧绕道吧,那不是推荐的写法,会把你的配置搞乱的。host1 192
LDAP 的介绍与应用
wyfvsfy的博客
09-07 5598
LDAP 内置的 ObjectClass 不满足业务需求时,通过自定义方式创建自己的Schema,可以通过如下方式进行。
LDAP概念和原理介绍
MyySophia的博客
04-09 2965
LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使用案例”四个方面来做一个介绍。所以目录天生是用来查询的,就好象它的名字一样。
封装jndi操作ldap服务器的工具类
09-04
它为多种类型的命名和目录服务提供了统一的接口,包括 Lightweight Directory Access Protocol (LDAP)。LDAP是一种轻量级目录访问协议,常用于存储和检索用户、组织和资源等信息,常用于企业级的身份验证和授权。 ...
LDAP服务器.pdf
06-25
相比传统的基于Web的数据库设计,如Windows NT + IIS + Access或Linux + Apache + PostgreSQL,LDAP目录服务解决了几个关键问题。首先,由于不依赖关系数据库,它避免了性能下降和复杂的管理系统。其次,LDAP提供更...
使用Delphi连接LDAP服务
02-01
`LDAP`(轻量级目录访问协议)则是一种用于访问和管理分布式目录服务的标准协议,常用于存储和检索用户、组织和其他资源的信息。本篇文章将深入探讨如何使用Delphi来连接并操作LDAP服务器。 首先,我们需要了解...
Ldap服务(Open directory 服务)相关解决办法
11-24
Ldap服务解决办法,macos server 在制作Ladp服务器主备的时候,多次制作失败,或者服务丢失,或服务崩溃,删除服务不干净,又不想重做系统,那么福音来了,在不重做系统的情况下可以解决Ldap服务当下遇到的问题,还...
LDAP服务搭建,phpLDAPadmin+python管理服务
seanyang_的博客
10-31 1670
LDAP(Lightweight Directory Access Protocol)是一种轻量级的目录访问协议。它最初是用于在 TCP/IP 网络上访问 X.500 目录服务,但由于其简单和高效的特点,现在广泛应用于企业、组织等系统中的身份验证、授权、信息管理等方面。LDAP 的主要作用是在目录中查找和修改信息。目录可以视为一个包含了关于人员、组织、设备等信息的数据库**(可以理解为企业微信中的通讯录,就是一个树的结构)**。
全网最全Centos7.9搭建LDAP服务器+图形界面
陪我养猪吧的博客
07-21 5003
本文将深入探讨如何在CentOS 7.9操作系统上搭建LDAP(轻量级目录访问协议)服务器,并配备图形化界面,以实现高效的用户管理。LDAP是一种强大的用户认证和授权协议,它可以帮助组织轻松管理大量用户和资源,提高整体安全性和工作效率。
centos7下搭建ldap服务
无效的博客
01-14 1104
该密码是LADP服务器的管理员根密码,输入slappasswd后提示输入密码(123456)与确认密码,系统会输出一串加密后的字符串。创建monitor.ldif文件。编辑数据文件db.ldif。ldap服务器基础配置完成。
LDAP服务器基础讲解
weixin_44524357的博客
06-20 1109
这将使用管理员账户 cn=admin,dc=example,dc=com 连接到 LDAP 服务器,使用密码 password,从 mydata.ldif 文件中读取 LDIF 格式的数据,并添加到 LDAP 服务器。这将使用管理员账户 cn=admin,dc=example,dc=com 连接到 LDAP 服务器,使用密码 password,并进入交互式模式,可以手动输入 LDIF 格式的数据,然后添加到 LDAP 服务器。LDAP中的域由目录项组成,每个目录项就相当于一个对象。
LDAP统一认证服务解决方案
崔向阳@李晓的博客
11-02 8743
LDAP是什么 首先LDAP是一种通讯协议,LDAP支持TCP/IP。协议就是标准,并且是抽象的。在这套标准下,AD(Active Directory)是微软出的一套实现。 那AD是什么呢?暂且把它理解成是个数据库。也有很多人直接把LDAP说成数据库(可以把LDAP理解成存储数据的数据库)。像是其他数据库一样,LDAP也是有client端和server端。server端是用来存放资源,client端用来操作增删改查等操作。 而我们通常说的LDAP是指运行这个数据库的服务器。 可以简单理解AD =LD
群晖搭建LDAP服务器实现一个账号登录DSM、Gitea、jellyfin
三思的博客
01-17 3761
LDAP(轻量级目录访问协议)是一种用于访问和管理分布式目录服务的协议,它具有以下好处:集中管理用户身份认证和授权:LDAP提供了一种方法,使组织能够集中管理用户的身份认证和授权。通过将用户信息存储在一个中心化的目录服务中,管理员可以更轻松地管理用户账户、密码策略和权限。也就是说通过ldap 可以实现一个账号、密码可以登陆多个系统或者应用程序,只要他们支持LDAP
Linux上搭建LDAP服务器指南
5. **跨平台服务**:适用于多种操作系统和应用。 6. **高效扩展**:随着网络规模的增长,LDAP能够有效地扩展。 **LDAP不能做什么** 1. **非交互式数据库**:不适宜处理高负载的关联数据库操作。 2. **非文件系统**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yolo2016

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值