LDAP

LDAP是輕型目錄訪問協(xié)議,活動(dòng)目錄存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息,
并且讓管理員和用戶能夠輕松查詢和使用信息,LDAP支持跨平臺(tái),
可以單獨(dú)在服務(wù)器上部署LDAP,實(shí)現(xiàn)與域控相同的功能,從而任何
應(yīng)用都可以直接訪問LDAP目錄實(shí)現(xiàn)認(rèn)證、信息獲取、信息存儲(chǔ),
并不完全依賴域控。

LDAP基礎(chǔ)

1.信息模型:
	LDAP使用面向?qū)ο蟮臄?shù)據(jù)庫,用戶對(duì)象、計(jì)算機(jī)對(duì)象等
	對(duì)象類都擁有類和屬性,設(shè)計(jì)時(shí)賦予了類繼承特性,降低了復(fù)雜度。
2.命名模型:
	LDAP中每個(gè)對(duì)象都用擁有獨(dú)一無二的DN屬性和RDN,DN是
	整個(gè)樹種唯一的表示,RDN是DN中每一個(gè)用逗號(hào)分割的表達(dá)式,
	如:CN=Admin,DC=a3sroot,DC=com中就有3個(gè)RDN。
3.功能模型:
	包括查詢類操作如:搜索、比較、,更新類操作類如:添加條目
	、刪除條目、修改條目或條目名,認(rèn)證類操作:如綁定、解綁的、
	其他操作如放棄和擴(kuò)展操作。
4.安全模型:
	LDAP中的安全模型提供三種認(rèn)證機(jī)制:匿名認(rèn)證、基本認(rèn)證和SASL認(rèn)證。
	匿名認(rèn)證:
		不對(duì)用戶進(jìn)行認(rèn)證、該方法僅對(duì)完全公開的方式適用。
	基本認(rèn)證:
		通過用戶名和密碼進(jìn)行身份驗(yàn)證、又分為簡單密碼認(rèn)證和摘要密碼認(rèn)證。
	SASL:
		SASL認(rèn)證是在SSL和TLS安全通道基礎(chǔ)上進(jìn)行的身份驗(yàn)證，
		包括數(shù)字證書的認(rèn)證。

LDAP應(yīng)用特性

1.名唯一:
	不能出現(xiàn)相同對(duì)象名如擁有一個(gè)叫Admin的用戶,將不允許出現(xiàn)一個(gè)admin組。
2.可繼承:
	可動(dòng)態(tài)繼承訪問權(quán)限,比如子對(duì)象通過繼承將自動(dòng)獲取并推遲父對(duì)象的訪問權(quán)限,
	如果更改父對(duì)象的訪問權(quán)限,相同的更改會(huì)應(yīng)用到父對(duì)象中的所有子對(duì)象。
3.可復(fù)制:
	基于微軟的只是一致性檢查器(KCC)進(jìn)行信息復(fù)制,KCC是一個(gè)在所有域控上運(yùn)行
	并為林生成復(fù)制拓展的內(nèi)置進(jìn)程,會(huì)根據(jù)網(wǎng)絡(luò)狀態(tài)和目錄服務(wù)配置創(chuàng)建單獨(dú)的復(fù)制拓展。
4.跨平臺(tái):
	可以在任何計(jì)算機(jī)平臺(tái)上使用LDAP客戶端進(jìn)行訪問目錄服務(wù)，可以很容易
	在定制軟件上完成LDAP支持。
5.樹結(jié)構(gòu):
	活動(dòng)目錄金支持OpenLDAP中的樹形結(jié)構(gòu),這樣可以更好地體現(xiàn)域內(nèi)組織架構(gòu)。

全局編錄服務(wù)器

全局編錄服務(wù)器（Global Catalog GC）,默認(rèn)情況下想新林創(chuàng)建的第一個(gè)域控服務(wù)器是
GC,此后將新的域控添加到已存在的域中需要指定成為GC,GC存儲(chǔ)的是有關(guān)整個(gè)林中
所有域的所有對(duì)象信息,而不是僅存儲(chǔ)一個(gè)活動(dòng)目錄域中的信息,KCC(一致性檢查器)創(chuàng)建
復(fù)制拓?fù)?確保每一個(gè)活動(dòng)目錄都可以將分區(qū)內(nèi)容傳遞到林中每一個(gè)GC中。
默認(rèn)情況下域中的GC上監(jiān)聽端口TCP3268（或者3269用于SSL上的LDAP）,
直接使用LDAP客戶端連接GC相應(yīng)端口即可訪問全局目錄,當(dāng)使用該端口連接
將只允許只讀方式。

LDAP定義

LDAP使用的是X.500標(biāo)準(zhǔn)定義的擁有以下名詞DC、OU、CN、DN、RDN、UPN、
Container、FQDN。
DC(域組件 Domain Component):
	如果你的你的域名叫做ldap.com的話那么你的DC全稱叫做
	DC=ldap,DC=com

OU(Organiaztion Unit 組織單位):
	OU最多可以擁有四級(jí)每級(jí)最多32個(gè)字符,OU中包含對(duì)象、容器
	還可以包含其他組織單位,組織單位還可以鏈接組策略。

CN（Common Name 通用名稱）:
	是對(duì)象的名稱比如在Usersr容器下有一個(gè)叫test的用戶
	CN=test,CN=Users,DC=xie,DC=com
	可以發(fā)現(xiàn)看到了有兩個(gè)CN這里的CN=Users比較特殊他不是OU而是容器,
	下面將講解說明是容器。

Container(容器):
	容器相較于OU最大的區(qū)別就是容器可以包含其他對(duì)象、比如用戶、計(jì)算機(jī)等
	但是不能在嵌套其他容器或者OU,而OU是可以嵌套其他OU或者容器的。
	比如Users容器下就是所有用戶。
	CN=Users,DC=xie,DC=com
DN（Distinguished Name 可分辨名稱）
	AD活動(dòng)目錄中每個(gè)對(duì)象都擁有完全唯一的DN,DN有三個(gè)屬性分別是DC、OU、CN、
	DN也可以表示為LDAP的某個(gè)目錄以入域的主機(jī)名DESKTOP-IOFJA89為例子,
	它存在于Computers容器中那么他的DN全程就是,CN=DESKTOP-IOFJA89,CN=Computers,DC=xie,DC=com

文章來源地址http://www.zghlxwxcb.cn/news/detail-671744.html

RDN(相對(duì)可分辨名稱):
	與目錄結(jié)構(gòu)無關(guān),比如RDN叫CN=Administrator,CN=Administrator,CN=Users,DC=xie,DC=com
	可以具有相同的RDN,但不能具有相同的DN。

UPN(User Principal Name 用戶主體名稱):
	用戶的可分辨名稱,用戶登錄時(shí)最好輸入U(xiǎn)PN,因?yàn)闊o論用戶的賬號(hào)被移動(dòng)到了那個(gè)域中
	UPN都不會(huì)變化,比如admin的UPN叫做admin@xie.com
FQDN(Fully Qualified Domain Name 全限定域名)
	跟UPN其實(shí)差不多,UPN代表是用戶那么FQDN代表的就是機(jī)器,比如DESKTOP-IOFJA89為例子FQDN
	叫做DESKTOP-IOFJA89.xie.com

到了這里，關(guān)于LDAP協(xié)議的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！