本節(jié)課的內(nèi)容

1、本節(jié)課的內(nèi)容LDAP服務(wù)器介紹建立dc=bjsxt,dc=com LDAP服務(wù)器使用JAVA如何進(jìn)行LDAP服務(wù)器的訪問如何配置roller來應(yīng)用LDAP服務(wù)器進(jìn)行認(rèn)證。1LDAP的概述LDAP（Lightweight Directory Acess Protocol）是輕量級目錄訪問協(xié)議， 輕量相對于X500目錄協(xié)議說的。背景知識上世紀(jì)80年代，國際電報電話協(xié)商委員會（CCITT），需要一個空白頁目錄，能夠查找電話號碼和電子郵件;國際標(biāo)準(zhǔn)組織ISO開發(fā)基于七層網(wǎng)絡(luò)參考模型OSI目錄服務(wù)（開發(fā)出DNS），最后兩家整合產(chǎn)生了X500。X500是針對OSI，占用很多網(wǎng)絡(luò)資源，最后簡化發(fā)展出LDAP

2、。2選擇LDAP服務(wù)器的依據(jù)If the answer to each of the following questions is Yes, then storing your data in LDAP is a good idea. Would you like your data to be available cross-platform? Do you need to access this data from a number of computers or applications? Do the individual records youre storing change a

3、few times a day or less, on average? could you effectively store all the data for a given item in a single record? 3應(yīng)用場合公司員工的電話號碼簿和組織結(jié)構(gòu)圖客戶的聯(lián)系信息軟件包的配置信息安全領(lǐng)域：數(shù)字證書或者安全密匙存放的數(shù)據(jù)信息文本信息（如：人名，地址，電話等）圖片（比如照片）指針（指向其他數(shù)據(jù)的URL）其他一些二進(jìn)制文件4LDAP服務(wù)器的特點特點：查詢速度快增刪改的速度比較慢支持分布式5在分布式目錄服務(wù)器中，LDAP目錄服務(wù)器可以由多個運行在相同或者不同地理位置上的LDAP服

4、務(wù)器提供。LDAP客戶機向LDAP服務(wù)器1請求信息LDAP服務(wù)器1給客戶機返回LDAP URL，LDAP服務(wù)器2在這個LDAP URL上客戶機根據(jù)LDAP URL向LDAP服務(wù)器2發(fā)出請求如果信息在LDAP2上，返回結(jié)果，如果不在，則返回LDAP URL，依此類推。6LDAP服務(wù)端IBM Tivoli Directory Server（商業(yè)試用）Windows Server AD (Active Directory)Linux OpenLDAP（開源）開源ApacheDs（開源）7LDAP開源客戶端（支持V3,V2）ApacheDirectoryStudio-win32-1.1.0JX v3.

5、2_install_windows8LDAP基本協(xié)議模型LDAP的基本協(xié)議模型遵循C/S模型，由LDAP Client 提交符合LDAP協(xié)議的目錄服務(wù)請求，應(yīng)用編程接口（API）通過TCP/IP協(xié)議將目錄訪問操作和參數(shù)傳遞給LDAP服務(wù)器，LDAP服務(wù)器直接與目錄連接，并將結(jié)果返回到客戶端應(yīng)用。9LDAP的信息模型信息模型定義在目錄中能夠存儲的數(shù)據(jù)類型和基本的信息單元。目錄中的基本信息單元是條目（entry），即關(guān)于對象的信息集合。條目說明的是真實世界的隊象（比如人，部門，服務(wù)器，打印機）10entry1entry211屬性和屬性值條目由屬性集合組成，每個屬性說明對象的一個特征。每個屬性有一個

6、類型和一個或多個值，含有多個值的屬性（人會有多個電話號碼、聯(lián)系地址）；屬性的值取決依賴于屬性的類型；屬性有屬性語法，用來決定該屬性的類型屬性有匹配的原則，這些規(guī)則決定屬性的值該如何進(jìn)行比較，例如相等規(guī)則，取子串規(guī)則。12下圖表示的是描述一個人的條目，具有一個人的全名(cn):common name，姓(sn) surname，電話號碼telephonenumber，電子郵件地址等屬性。13LDAP Attribute組成部分Attribute名字Attribute的名字要避免與 “官方指定”的Attribute的名字沖突Attribute的名字的第一個字母必須小寫，其他單詞的第一個字母必須大寫

7、，其他的字母必須小寫Attribute的名字由a-z,0-9以及其他少量的字母構(gòu)成，名字的第一個字符必須是字母，空格、下劃線及一些特殊字符是不允許出現(xiàn)在Attribute的名字中的描述是一個描述Attribute的用途的注釋。對象標(biāo)識符（OID）被LDAP內(nèi)部數(shù)據(jù)庫引用的數(shù)字用于類型檢查和模式匹配的語法Attribute是否允許有多個值 14常見的Attribute： c國家; dcdomainComponent,經(jīng)常用來指一個域名的一部分，如：dc=bjsxt,dc=com; oorganizationName,指一個組織的名字; objectClass指對象類； ouorganizatio

8、nalUnitName,指一個組織單元的名字; snsurname,指一個人的姓; cncommonname,指一個對象的名字;如果指人,需要使用其全名; givenName指一個人的名字,不能用來指姓或者middlename; userPassword用戶密碼; uiduserid,通常指一個人的登錄名; email電子信箱地址; 15LDAP的結(jié)構(gòu)LDAP是按照樹形目錄進(jìn)行組織的（與unix，linux相似）。公司的域名是，則LDAP使用域名作為整個樹的根，并且用dc=bjsxt，dc=com標(biāo)記標(biāo)注。dc節(jié)點的后面，就是ou節(jié)點?？梢园裲u想象為文件夾，它是用來容納其他節(jié)點的。ou可以對

9、應(yīng)部門、組或者任何要包含其他節(jié)點的東西。ou下面的節(jié)點，可以是另一個ou，也可以是cn或者uid節(jié)點。cn是“Common Name”的縮寫，它是樹葉節(jié)點，可以把它對比為文件系統(tǒng)中的文件。cn節(jié)點通常用來存儲用戶的信息，例如某個用戶的地址，用戶密碼等。16對象類（ Object Class ）定義：許多條目中具有相同的或者相似的屬性，將這些屬性抽取出來，封裝成一個單獨的類約束：Object Class中的必須包含的屬性稱為強制的（mandatory），可能包含的屬性稱為可選的（ optional ）。 繼承關(guān)系：對象類遵循繼承機制,子類繼承父類所有強制和可選屬性。Top類形成隊象類的根，其他的

10、子類都直接或者間接的由它派生，top類定義的強制屬性“objectclass”，保證每個目錄項至少有一個對象類。AttributeFieldObject CalssTable17對象類的描述18LDAP模式Schema Schema模式定義包含對象類型的定義和屬性類型的定義。對象類型定義：LDAP目錄樹中的每一個條目對應(yīng)著一個特殊的對象類型，由對象類型來定義條目的結(jié)構(gòu)。在LDAP中定義一些基本的數(shù)據(jù)類型，如O，OU，person等，還允許用戶擴展新的對象類型信息。擴展對象就是定義新的對象類型繼承原來的對象類型，為每個對象類型指定一個特定的標(biāo)示OID。屬性定義：需要指定該屬性類型的標(biāo)識符OID，

11、類型名，取值的數(shù)據(jù)類型，匹配的規(guī)則，排序的規(guī)則。19LDAP模式文件示例： attributetype(.4.1.800.1 Name CustomerID SUP name/繼承SINGLE-VALUE/單值NO-USER-MODIFICATION)attributetype(.4.1.800.2 Name CustomerName SUP name.Objectclass(.4.1.800.4.1 Name CustomerSUP top /超類STRUCTUALMUST(Customer$CutomerName) /必須屬性MAY(RegisteredDates$Date)/可選屬性) 20LDAP目錄服務(wù)器與數(shù)據(jù)庫的區(qū)別21LDAP命名模型LDAP命名模型定義用戶如何組織和引用數(shù)據(jù)。LDAP的所有目錄節(jié)點構(gòu)成目錄信息樹（DIT）。命名服務(wù)為目錄的每一個條目給出唯一的一個名稱。使用分辨名（ DN ）類唯一表識條目。下圖的用戶john可以標(biāo)識為：uid=john,ou-engineering ou=people dc=bus dc=com,從左到右可以跟蹤到目錄樹根的路徑。22在任何條目DN中，最左邊的一段稱為相對分辨名（RDN），在兄弟條目中，每個RDN是唯一的，下圖中的，雖然兩個條目RDN都是cn=張藝謀，但他們在不同的子樹中，所以是合法的。23LDIF文