本節(jié)課的內(nèi)容

1、本節(jié)課的內(nèi)容LDAP服務(wù)器介紹建立dc=bjsxt,dc=com LDAP服務(wù)器使用JAVA如何進(jìn)行LDAP服務(wù)器的訪問如何配置roller來(lái)應(yīng)用LDAP服務(wù)器進(jìn)行認(rèn)證。1LDAP的概述LDAP（Lightweight Directory Acess Protocol）是輕量級(jí)目錄訪問協(xié)議， 輕量相對(duì)于X500目錄協(xié)議說(shuō)的。背景知識(shí)上世紀(jì)80年代，國(guó)際電報(bào)電話協(xié)商委員會(huì)（CCITT），需要一個(gè)空白頁(yè)目錄，能夠查找電話號(hào)碼和電子郵件;國(guó)際標(biāo)準(zhǔn)組織ISO開發(fā)基于七層網(wǎng)絡(luò)參考模型OSI目錄服務(wù)（開發(fā)出DNS），最后兩家整合產(chǎn)生了X500。X500是針對(duì)OSI，占用很多網(wǎng)絡(luò)資源，最后簡(jiǎn)化發(fā)展出LDAP

2、。2選擇LDAP服務(wù)器的依據(jù)If the answer to each of the following questions is Yes, then storing your data in LDAP is a good idea. Would you like your data to be available cross-platform? Do you need to access this data from a number of computers or applications? Do the individual records youre storing change a

3、few times a day or less, on average? could you effectively store all the data for a given item in a single record? 3應(yīng)用場(chǎng)合公司員工的電話號(hào)碼簿和組織結(jié)構(gòu)圖客戶的聯(lián)系信息軟件包的配置信息安全領(lǐng)域：數(shù)字證書或者安全密匙存放的數(shù)據(jù)信息文本信息（如：人名，地址，電話等）圖片（比如照片）指針（指向其他數(shù)據(jù)的URL）其他一些二進(jìn)制文件4LDAP服務(wù)器的特點(diǎn)特點(diǎn)：查詢速度快增刪改的速度比較慢支持分布式5在分布式目錄服務(wù)器中，LDAP目錄服務(wù)器可以由多個(gè)運(yùn)行在相同或者不同地理位置上的LDAP服

4、務(wù)器提供。LDAP客戶機(jī)向LDAP服務(wù)器1請(qǐng)求信息LDAP服務(wù)器1給客戶機(jī)返回LDAP URL，LDAP服務(wù)器2在這個(gè)LDAP URL上客戶機(jī)根據(jù)LDAP URL向LDAP服務(wù)器2發(fā)出請(qǐng)求如果信息在LDAP2上，返回結(jié)果，如果不在，則返回LDAP URL，依此類推。6LDAP服務(wù)端IBM Tivoli Directory Server（商業(yè)試用）Windows Server AD (Active Directory)Linux OpenLDAP（開源）開源ApacheDs（開源）7LDAP開源客戶端（支持V3,V2）ApacheDirectoryStudio-win32-1.1.0JX v3.

5、2_install_windows8LDAP基本協(xié)議模型LDAP的基本協(xié)議模型遵循C/S模型，由LDAP Client 提交符合LDAP協(xié)議的目錄服務(wù)請(qǐng)求，應(yīng)用編程接口（API）通過(guò)TCP/IP協(xié)議將目錄訪問操作和參數(shù)傳遞給LDAP服務(wù)器，LDAP服務(wù)器直接與目錄連接，并將結(jié)果返回到客戶端應(yīng)用。9LDAP的信息模型信息模型定義在目錄中能夠存儲(chǔ)的數(shù)據(jù)類型和基本的信息單元。目錄中的基本信息單元是條目（entry），即關(guān)于對(duì)象的信息集合。條目說(shuō)明的是真實(shí)世界的隊(duì)象（比如人，部門，服務(wù)器，打印機(jī)）10entry1entry211屬性和屬性值條目由屬性集合組成，每個(gè)屬性說(shuō)明對(duì)象的一個(gè)特征。每個(gè)屬性有一個(gè)

6、類型和一個(gè)或多個(gè)值，含有多個(gè)值的屬性（人會(huì)有多個(gè)電話號(hào)碼、聯(lián)系地址）；屬性的值取決依賴于屬性的類型；屬性有屬性語(yǔ)法，用來(lái)決定該屬性的類型屬性有匹配的原則，這些規(guī)則決定屬性的值該如何進(jìn)行比較，例如相等規(guī)則，取子串規(guī)則。12下圖表示的是描述一個(gè)人的條目，具有一個(gè)人的全名(cn):common name，姓(sn) surname，電話號(hào)碼telephonenumber，電子郵件地址等屬性。13LDAP Attribute組成部分Attribute名字Attribute的名字要避免與 “官方指定”的Attribute的名字沖突Attribute的名字的第一個(gè)字母必須小寫，其他單詞的第一個(gè)字母必須大寫

7、，其他的字母必須小寫Attribute的名字由a-z,0-9以及其他少量的字母構(gòu)成，名字的第一個(gè)字符必須是字母，空格、下劃線及一些特殊字符是不允許出現(xiàn)在Attribute的名字中的描述是一個(gè)描述Attribute的用途的注釋。對(duì)象標(biāo)識(shí)符（OID）被LDAP內(nèi)部數(shù)據(jù)庫(kù)引用的數(shù)字用于類型檢查和模式匹配的語(yǔ)法Attribute是否允許有多個(gè)值 14常見的Attribute： c國(guó)家; dcdomainComponent,經(jīng)常用來(lái)指一個(gè)域名的一部分，如：dc=bjsxt,dc=com; oorganizationName,指一個(gè)組織的名字; objectClass指對(duì)象類； ouorganizatio

8、nalUnitName,指一個(gè)組織單元的名字; snsurname,指一個(gè)人的姓; cncommonname,指一個(gè)對(duì)象的名字;如果指人,需要使用其全名; givenName指一個(gè)人的名字,不能用來(lái)指姓或者middlename; userPassword用戶密碼; uiduserid,通常指一個(gè)人的登錄名; email電子信箱地址; 15LDAP的結(jié)構(gòu)LDAP是按照樹形目錄進(jìn)行組織的（與unix，linux相似）。公司的域名是，則LDAP使用域名作為整個(gè)樹的根，并且用dc=bjsxt，dc=com標(biāo)記標(biāo)注。dc節(jié)點(diǎn)的后面，就是ou節(jié)點(diǎn)?？梢园裲u想象為文件夾，它是用來(lái)容納其他節(jié)點(diǎn)的。ou可以對(duì)

9、應(yīng)部門、組或者任何要包含其他節(jié)點(diǎn)的東西。ou下面的節(jié)點(diǎn)，可以是另一個(gè)ou，也可以是cn或者uid節(jié)點(diǎn)。cn是“Common Name”的縮寫，它是樹葉節(jié)點(diǎn)，可以把它對(duì)比為文件系統(tǒng)中的文件。cn節(jié)點(diǎn)通常用來(lái)存儲(chǔ)用戶的信息，例如某個(gè)用戶的地址，用戶密碼等。16對(duì)象類（ Object Class ）定義：許多條目中具有相同的或者相似的屬性，將這些屬性抽取出來(lái)，封裝成一個(gè)單獨(dú)的類約束：Object Class中的必須包含的屬性稱為強(qiáng)制的（mandatory），可能包含的屬性稱為可選的（ optional ）。 繼承關(guān)系：對(duì)象類遵循繼承機(jī)制,子類繼承父類所有強(qiáng)制和可選屬性。Top類形成隊(duì)象類的根，其他的

10、子類都直接或者間接的由它派生，top類定義的強(qiáng)制屬性“objectclass”，保證每個(gè)目錄項(xiàng)至少有一個(gè)對(duì)象類。AttributeFieldObject CalssTable17對(duì)象類的描述18LDAP模式Schema Schema模式定義包含對(duì)象類型的定義和屬性類型的定義。對(duì)象類型定義：LDAP目錄樹中的每一個(gè)條目對(duì)應(yīng)著一個(gè)特殊的對(duì)象類型，由對(duì)象類型來(lái)定義條目的結(jié)構(gòu)。在LDAP中定義一些基本的數(shù)據(jù)類型，如O，OU，person等，還允許用戶擴(kuò)展新的對(duì)象類型信息。擴(kuò)展對(duì)象就是定義新的對(duì)象類型繼承原來(lái)的對(duì)象類型，為每個(gè)對(duì)象類型指定一個(gè)特定的標(biāo)示OID。屬性定義：需要指定該屬性類型的標(biāo)識(shí)符OID，

11、類型名，取值的數(shù)據(jù)類型，匹配的規(guī)則，排序的規(guī)則。19LDAP模式文件示例： attributetype(.4.1.800.1 Name CustomerID SUP name/繼承SINGLE-VALUE/單值NO-USER-MODIFICATION)attributetype(.4.1.800.2 Name CustomerName SUP name.Objectclass(.4.1.800.4.1 Name CustomerSUP top /超類STRUCTUALMUST(Customer$CutomerName) /必須屬性MAY(RegisteredDates$Date)/可選屬性) 20LDAP目錄服務(wù)器與數(shù)據(jù)庫(kù)的區(qū)別21LDAP命名模型LDAP命名模型定義用戶如何組織和引用數(shù)據(jù)。LDAP的所有目錄節(jié)點(diǎn)構(gòu)成目錄信息樹（DIT）。命名服務(wù)為目錄的每一個(gè)條目給出唯一的一個(gè)名稱。使用分辨名（ DN ）類唯一表識(shí)條目。下圖的用戶john可以標(biāo)識(shí)為：uid=john,ou-engineering ou=people dc=bus dc=com,從左到右可以跟蹤到目錄樹根的路徑。22在任何條目DN中，最左邊的一段稱為相對(duì)分辨名（RDN），在兄弟條目中，每個(gè)RDN是唯一的，下圖中的，雖然兩個(gè)條目RDN都是cn=張藝謀，但他們?cè)诓煌淖訕渲?，所以是合法的?3LDIF文