推荐LDAP技术简介什么是LDAP

LDAP技术简介什么是LDAP}数据直接在TCP上传输.

}传输的数据都被编码为一般的宁符串.

}所有的数据采片j轻犁BER(BasicEncodingRules)编

码方式进行编码.

基于LDAP的日录服务运行十TCP/IP协议栈上,采片jclient/S erver模式.一个或多个LDAP服务器组成了

LDAP日录树.LDAP客户机与一个LDAP服务器连接.并向

它发出操作请求,r}1服务器负责在日录上执行必要的操作.

一

旦服务器完成了这些操作,便向发出请求的客户机返回

结果或错误应答,或用一指针指向另一个LDAP服务器使客

户得到服务.论客户与哪一个LDAP服务器连接,它看到

的目录视图是一样的.

1)匿名浏览:例如在Internet上浏览目录和访问公

用信息

2)授权访问敏感信息;

3)服务器问通讯,包括复制能力和客户机在目录查

找中引用其他服务器对日录中被管理对象的操作,可通过bind和unbind建立和撤消client与LDAP S erver的_天联.

一

般地,clj ent向LDAP S erver请求信息以下儿种情

介什么是LDAP

文:宋永欣

LDAP——轻量级目录存取协议,

英文全称是LightweightDireC—

t0rYAcceSSProtocoI,一般都

简称为LDAP.它是基于X.500标准

的,但是简单多了并且可以根据需

要定制.与X.500不同,LDAP支持

T CP/IP,这对访问Internet是必

须的.

况:

1)LDAPServer 1返回应答.

2)如果LDAPServer 1没有应答,它指向另

一

个可能仃应答的LDAP S erver2.

3)LDAP Server 1向LDAP Server2查询结果,LDAP S erver2向LDAP S erver3查询,直到返回应答.

4)并发地将请求发送给两个或者更多的

LDAP S erver,任何有应答的LDAP S errer向发出请求的Cli ent响应请求.

LDAP协议的公共要素主要包含了

LDAPMessage封装协议数据单元(PDU)的格式,以及被用于协议操作的其它数据类型.

1)协议数据报封装

为了达到协议交换的日的,所有协议操作都被封装在一个公的数据报中,这个数据报就是LDAPMessage.其包格式是一个队列,队列中每一个元素的定义如下:

■簟时代困

一}

▲

●

●

现^:碗隧蜕lI)AIII录驯底.fl坫什么忧特r.In^P

上f由忧蚺证:l以f|II帆.rf 『I.}}jm铎挂

呐culll投H4-P~i增nll 【D^P蚋客瑞序_螗轴l^PH.

1 『『JlI也般止制应川序为它抽Il 1 D^1?的芷持

1._J^P嫂跨'由的的杯mf¨协议.此腑州竹

鞭川为Il_^l} ¨采放{I扦的雌{';}=}l撵rj蛮k

上-III^P得剑,业『f==J广泛llr.I埘为它链l11 I¨ {的h:~lLM斌童:J-l一I入埘I1)^P的芷抖.i

{~fl'l丰小HJ苛虑舄端(客户端或J叠i务端)足怎幺朴『一】D^l_服备器ll以越任W个"蹬蝴代咐或商用的

I 【)^}闩录鞋务器(政硅I叮能是仃__OfiP的乓系

数据库),却州以川州扦的议,端连接辙什也

羽I淘gO"々11]^ 『 1服务器逃{r空生与lln^P小㈤的址.{l l】轼什产商越n.轼-l_集成剥D RM S的持.邪幺西常郇监对姆个数据库务器唯独定制ll】 ^P允计你根需要仙川^(』 I般称A或

睛问扫制刊丧●控制埘数搬和I写的枉艉^c' !lⅡ以橄据准ih"问数押i,|方0U么数椎,数据打n仆幺地打以盟它划效抓上堕f,访问托制为这曲栅足…【D^r 卜 f录1 H鸯器完的.所小,LLbJU心在书p端的应f{j'fj一足

蛭进仃虫仝锰在.

推荐机制是分目录服务系统L}|一个十分重要的

功能,它的构成和使用都充分体现了分式日录服务的特征.分』 目录服务系统的一大优越性便是它对物理

上分散存储于网络上的信息,提供一种逻辑上统一的访问LDAP协议L}|,实现这些功能的操作都涉及到对推荐的处理.

推荐是指网络上某台目录服务器所维护的个或多个其他服务器的信息,这些信息主要片j于和这些服务器或服务进行联接.它允许在一个目录服务系统内包含多台服务器,而不需在每台服务器上物理的存储所有的日录项.

适用范围

在LDAPv 1和LDAPv2中,服务器并把推荐返叫

给客户端,而在LDAPv3L}|,服务器可以将指向其他服务器的推荐返给客户端.这使得服务器间能更好得联同起来进行操作,系统的分布式操作能力便得到了很大提高,刊时也加大了客户端对LDAP应答处理的复杂程度.推荐在主要应用于以下情况:

1)扩展目录服务网

推荐允许将查询请求重定向到其他的目录服务系统中.当然,这需要该目录服务系统的合作.它的作用

是允许用户通过和本地目录服务系统的联接,去发现远地目录信息,而需要服务提供者将信息从远地系统复制到本地.

2)规模划分

对于一些极大的组织而言,例如一些国际ISP,推

荐可以将他们超过百万数的目录信息储存在一个单一日录系统中.

3)负载平衡

在某些组织中,由于带宽或安全原因,不适宜将

所有目录项复制到个特定的目录服务器.但同时一些远程目录用户虽然极少,但很正当的需要访问这些目录

项.在这种情况下,推荐便显得十分必要,它允许远程用户在他们自己本地服务器上执行查询操作,并定位这些不需复制的目录项.

推荐方式

1)命名推荐

这个用途和x.500L}|的推荐概念很相似.命名一个参考服务器,指出了被参考服务器上相应目录项.该目录项的值可以是一个目录服务器所管理的命名上下世■擎时代圜

文,也可以是这台服务器的某目录项可区分名.

2)上级推荐

LDAP服务器的根DSE中有"ref"属性.其属

性值是不也含任何可区分名部分的LDAPURI,只有主机名和可选择的端u号.当服务器收到一个请求,但它也含请求中的基本项或命名上下文时,服务器将返回上级推荐,其值为根DSE中的"ref"属性值.

3)无命名推荐

这种推荐方式己不再仅仅是一个分布式查询和多服务器间交叉索引的概念.在使用推荐的服务器中,推荐用于命名目录项.在查询过程中,以推荐命名的目录项还可以包含一些其他的属性.

推荐的原则

在目录系统中设计使用推荐时尽量遵循以下几个原则:

1)尽量使用简单的推荐

过度使用推荐常导致出现推荐环.推荐环就是当

某个推荐指向一个LDAPURL时,这个URL又指向另一个LDAPURL,如此持续下去,直到链上的某个推荐指向一个己存在链上的URL,这就形成了环.环的出现

使对推荐的处理更复杂,也更费时.

2)限制推荐指向某DIT的命名上下文

推荐允许将查询重定向到其他服务器的叶目录和完全不同可区分名的目录项,这极易造成将推荐用作别名机制.如果这样的话,将导致很难管理和控制目录结构,特别是存在安全限制时.限制推荐指向某DIT的后缀级,或禁止它指向DIT的某个主要分支,这样就可以减少所管理的推荐数目,也将显着降低目录管理过载,同时它还将有效的减少推荐环的出现.

3)使用推荐时考虑到访问控制

这就是说请求的原服务器A对目录项允许某种形式的访问,同时该目录项具有推荐,如果客户端向此推荐的服务器B发出请

求,真正具有目录信

息的服务器B一定必

须允许这种形式的访

问,这在使用推荐时

必须考虑.呵

▲

,●