LDAP概念和原理

http://blog.sina.com.cn/s/blog_6151984a0100ey3z.html

 

什么是目录服务？
    目录服务就是按照树状存储信息的模式

    目录服务的特点？ 目录服务与关系型数据库不同？

•  目录服务的数据类型主要是字符型, 而不是关系数据库提供的整数、浮点数、日期、货币等类型

为了检索的需要添加了BIN（二进制数据）、CIS（忽略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax）

• 同样也不提供象关系数据库中普遍包含的大量的函数
• 目录有很强的查询（读）功能，适合于进行大量数据的检索
• 但目录一般只执行简单的更新（写）操作，不支持批量更新所需要的事务处理功能
• 它主要面向数据的查询服务（查询和修改操作比一般是大于10:1），不提供事务的回滚（rollback）机制.
• 目录具有广泛复制信息的能力，适合于多个目录服务器同步/更新

   常见的目录服务软件

• X.500
• LDAP
• Actrive Directory，Microsoft公司
• NIS

    LDAP
    LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写
    LDAP标准实际上是在X.500标准基础上产生的一个简化版本


    LDAP特点

•     LDAP的结构用树来表示，而不是用表格。正因为这样，就不能用SQL语句了
•     LDAP可以很快地得到查询结果，不过在写方面，就慢得多
•     LDAP提供了静态数据的快速查询方式
•     Client/server模型

    Server 用于存储数据
    Client提供操作目录信息树的工具
       这些工具可以将数据库的内容以文本格式（LDAP 数据交换格式，LDIF）呈现在您的面前

•     LDAP是一种开放Internet标准，LDAP协议是跨平台的 的Interent协议

     它是基于X.500标准的， 与X.500不同，LDAP支持TCP/IP(即可以分布式部署)



    LDAP存储这样的信息最为有用: 也就是数据需要从不同的地点读取，但是不需要经常更新：

•       公司员工的电话号码簿和组织结构图  
•       客户的联系信息  
•       计算机管理需要的信息，包括NIS映射、email假名，等等  
•       软件包的配置信息  
•       公用证书和安全密匙  

    Ldap的client /server结构

server	/usr/sbin/slapd -u ldap -h ldap:///
client	数据库操作client    用于对ldap server库进行操作 工具：ldapadd, ldapsearch
	实用client    用于将ldap server库在实际工作中使用 工具：radius+ldap, pam+ldap

  
    身份认证在LDAP中提供三种认证机制：

匿名    Ldapsearch –x -LLL

基本认证    通过用户名和密码进行身份识别，又分为简单密码和MD5密码认证
# ldapadd -x -D "cn=root,dc=otas,dc=cn" -W -f base.ldif
-x就是simple authetication

Enter LDAP Password: 输入admin123
 adding new entry "dc=otas,dc=cn"
 adding new entry "ou=People,dc=otas,dc=cn"
 adding new entry "ou=Group,dc=otas,dc=cn"

SASL    Simple Authentication and Secure Layer
LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证

    Ldap端口号（显然提供分布式ldap）——389，636
[root@vmmac modules]# cat /etc/services | grep ldap
ldap            389/tcp                         明文
ldap            389/udp                         明文
ldaps           636/tcp                         # LDAP over SSL
ldaps           636/udp                         # LDAP over SSL

    TLS 安全性
    分布式LDAP 是以明文的格式通过网络来发送信息的，包括client访问sldap的密码。TLS（SSL 的后继者，由OpenSSL 包）加密机制来解决这个问题。




    LDAP目录数据结构

•     在LDAP中目录是按照树型结构组织——目录信息树（DIT）

          DIT是一个主要进行读操作的数据库

•     DIT由条目（Entry）组成，条目相当于关系数据库中表的记录；

条目是具有分辨名DN（Distinguished  Name）的属性-值对（Attribute-value,简称AV）的集合


    在目录树中怎么组织数据  

cn=Fran Smith,ou=employees,dc=foobar,dc=com
              ------------ -----------------
                容器条目      BaseDN
--------------------------------------------
                DN
 

1。在UNIX文件系统中，最顶层是根目录（root），LDAP目录也通常用ROOT做根，通常称为BaseDN。
2。因为历史（X.500）的原因，LDAP目录用OU（Organization Unit）从逻辑上把数据分开来。
   Ou 也是一种条目，容器条目
3．Ou 下就是真正的用户条目



   什么是dn?
    DN，Distinguished Name分辨名
    在LDAP中，一个条目的分辨名叫做“DN”，DN是该条目在整个树中的唯一名称标识
DN相当于关系数据库表中的关键字（Primary  Key）；
是一个识别属性，通常用于检索
    常见的两种DN设置：

基于cn（姓名）	cn=Fran Smith,ou=employees,dc=foobar,dc=com  （dn格式就是这么一大串） 最常见的CN是/etc/group转来的条目
基于uid（User ID）	uid=fsmith,ou=employees,dc=foobar,dc=com 最常见的UID是/etc/passwd和/etc/shadow转来的条目

 

[root@vmmac migration]# ldapsearch -x -LLL "uid=mac*"
dn: uid=mac,ou=People,dc=otas,dc=cn         唯一标适
uid: mac               
cn: mac                                  CN=Common Name 为用户名或服务器名
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyeXB0fSQxJGRTMFJoR1lwJHk0dkdKc1ByM3BlVmo4Z243dEhoQTA=
shadowLastChange: 13697
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 500
gidNumber: 500
homeDirectory: /home/mac

dn: uid=macg,ou=People,dc=otas,dc=cn
uid: macg
cn: macg
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyeXB0fSQxJGxHdE9tTW9vJHR0TFhpYXc2Y1VJb0RyWU9xUlVDSzE=
shadowLastChange: 14186
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 503
gidNumber: 503
homeDirectory: /home/macg

 
 
   Base DN （就是dc=,dc= ）
LDAP目录树的最顶部就是根，也就是所谓的“Base DN"。
BaseDN通常采用两种格式：
 （假定我在名为FooBar 的电子商务公司工作，这家公司在Internet上的名字是foobar.com）

商务型格式——以X.500格式表示的基准DN	o="FooBar, Inc.", c=US
Internet型格式——以公司的Internet 域名地址表示的基准DN） 是最常用的格式	dc=foobar, dc=com

 

    LDIF 格式(此格式用于LDAP数据导入、导出)
LDIF是LDAP数据库信息的一种文本格式，包含：

•     行界定
•     冒号分隔
•     属性-值对

[root@vmmac migration]# cat passwd.ldif
dn: uid=mac,ou=People,dc=otas,dc=cn
uid: mac
cn: mac
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$1$dS0RhGYp$y4vGJsPr3peVj8gn7tHhA0
gidNumber: 500
homeDirectory: /home/mac

    一个典型的 entry例子(一个属性可以有多个值）
Foobar, Inc.的员工Fran Smith的LDAP记录。

dn: uid=fsmith, ou=employees, dc=foobar, dc=com 
完整DN，包括在目录树中的完整路径

 objectclass: person 
 objectclass: organizationalPerson 
 objectclass: inetOrgPerson 
 objectclass: foobarPerson 
 uid: fsmith 
 givenname: Fran 
 sn: Smith 
 cn: Fran Smith 
 cn: Frances Smith 
CN有多个值
你可能只知道她的名字叫Fran，但是对人力资源处的人来说她的正式名字叫做Frances。因为保存了她的两个名字

 telephonenumber: 510-555-1234 
 roomnumber: 122G 
 o: Foobar, Inc. 
 mailRoutingAddress: fsmith@foobar.com 
 mailhost: mail.foobar.com 
 userpassword: {crypt}3x1231v76T89N 
 uidnumber: 1234 
 gidnumber: 1200 
 homedirectory: /home/fsmith 
 loginshell: /usr/local/bin/bash  

    属性/值搜索的时候是不区分大小写的
 某些特殊的属性（例如，password）在搜索的时候需要区分大小写。 


    /etc/passwd和/etc/group文件里的用户被migrate导入ldap后，会产生两条条目，分别属于People这个ou,和Group这个ou
显然属于People ou的条目对应passwd,属于Group ou的条目对应group

dn: cn=test1,ou=Group,dc=otas,dc=cn
objectClass: posixGroup
objectClass: top
cn: test1
userPassword:: e2NyeXB0fXg=
gidNumber: 500
    /etc/group

dn: uid=test1,ou=People,dc=otas,dc=cn
uid: test1
cn: test1
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyeXB0fSQxJHpGR3drdUdlJFIyZ3BZTlh3QzVPaXFOck1CTGU2QjE=
shadowLastChange: 14298
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 500
gidNumber: 500
homeDirectory: /home/test1
    /etc/passwd
/etc/shaddow

   user和group在ldap中的不同

•     从属ou不同

user属于ou=People
group属于ou=Group

•     dn表示方式不同

user的dn用uid打头:uid=news,ou=People,dc=otas,dc=cn
group的dn用cn打头：cn=news,ou=Group,dc=otas,dc=cn