LDAP

LDAP:

http://www.yuanma.org/data/2006/0724/article_1220.htm

http://www.blogjava.net/liyong/archive/2007/02/09/98942.html

http://blog.csdn.net/gaolongbiti/archive/2005/07/18/428181.aspx

术语：http://www.zytrax.com/books/ldap/apd/

 

一. LDAP介绍

1. LDAP能做什么

大多数的LDAP服务器都为读密集型的操作进 行专门的优化。因此，当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优 化，大多数的LDAP目录服务器并不适合存储需要需要经常改变的数据。它主要面向数据的查询服务（查询和修改操作比一般是大于10:1），不提供事务的回 滚（rollback）机制，它的数据修改使用简单的锁定机制实现All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服务器的 信息复制功能。例如，用LDAP服务器来存储电话号码是一个很好的选择，但是它不能作为电子商务站点的数据库服务器。如果下面每一个问题的答案都是 “是”，那么把数据存在LDAP中就是一个好主意。 
1. 需要在任何平台上都能读取数据吗？ 
2.每一个单独的记录项是不是每一天都只有很少的改变？  l 可以把数据存在平面数据库（flat database）而不是关系型数据库中吗？换句话来说，也就是不管什么范式不范式的，把所有东西都存在一个记录中（差不多只要满足第一范式）。 
最 后一个问题可能会唬住一些人，其实用平面数据库去存储一些关系型的数据也是很一般的。例如，一条公司员工的记录就可以包含经理的登录名。用LDAP来存储 这类信息是很方便的。一个简单的判断方法：如果可以把保数据存在一张张的卡片里，就可以很容易地把它存在LDAP目录里。

2. LDAP具有安全和访问控制 

 

LDAP提供很复杂的不同层次的访问控制或者ACI。因这些访问可以在服务器端控制，这比用客户端的软件保证数据的安全可安全多了。用LDAP的ACI，可以完成： 

l 给予用户改变他们自己的电话号码和家庭地址的权限，但是限制他们对其它数据（如，职务名称，经理的登录名，等等）只有“只读”权限。 

l 给予“HR-admins"组中的所有人权限以改变下面这些用户的信息：经理、工作名称、员工号、部门名称和部门号。但是对其它域没有写权限。 

l 禁止任何人查询LDAP服务器上的用户口令，但是可以允许用户改变他或她自己的口令。 

l 给予经理访问他们上级的家庭电话的只读权限，但是禁止其他人有这个权限。 

l 给予“host-admins"组中的任何人创建、删除和编辑所有保存在LDAP服务器中的与计算机主机有关的信息 

l 通过Web，允许“foobar-sales"组中的成员有选择地给予或禁止他们自己读取一部分客户联系数据的读权限。这将允许他们把客户联系信息下载到本地的笔记本电脑或个人数字助理（PDA）上。（如果销售人员的软件都支持LDAP，这将非常有用） 

l 通过Web，允许组的所有者删除或添加他们拥有的组的成员。例如：可以允许销售经理给予或禁止销售人员改变Web
页 的权限。也可以允许邮件假名（mail aliase）的所有者不经过IT技术人员就直接从邮件假名中删除或添加用户。 “公用”的邮件列表应该允许用户从邮件假名中添加或删除自己（但是只能是自己）。也可以对IP地址或主机名加以限制。例如，某些域只允许用户IP地址以 192.168.200.*开头的有读的权限，或者用户反向查找DNS得到的主机名必须为*.foobar.com。

 

3. 目录服务系统的组成

目录服务系统一般由两部分组成：第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的规划；第二部分则是访问和处理数据库有关的详细的访问协议。

目 录服务与关系型数据库不同的是，目录不支持批量更新所需要的事务处理功能，目录一般只执行简单的更新操作，适合于进行大量数据的检索；目录具有广泛复制信 息的能力，从而在缩短响应时间的同时，提高了可用性和可靠性。目前，目录服务技术的国际标准有两个，即较早的X.500标准和近年迅速发展的LDAP标 准。

 

1.X.500是一个协议族

　　 X.500实际上不是一个协议，它是由一个协议族组成：X.501模型强调目录服务基本模型和概念；X.509认证框架是如何在 X.500中处理目录客户和服务器的认证；X.511 抽象服务定义X.500被要求提供的功能性服务；X.518 分布式操作过程表明如何跨越多台服务器处理目录服务；X.519 协议规范即是X.500协议，包括目录访问协议DAP、目录系统协议DSP、目录操作绑定协议DOP和目录信息Shadowing协议DISP； X.520 选定的属性类型要求是X.500自己使用的属性类型；X.521选定的对象类即为X.500自己使用的对象类；X.525复制是如何在目录服务器之间复制 目录内容。

　　在这些X.500标准中主要定义有多种内容。一个信息模型：确定目录中信息的格式和字符集，如何在项中表示目录信息 (定义对象类、属性等模式)；一个命名空间：确定对信息进行的组织和引用，如何组织和命名项——目录信息树DIT和层次命名模型；一个功能模型：确定可以 在信息上执行的操作；一个认证框架：保证目录中信息的安全，如何实现目录中信息的授权保护——访问控制模型；一个分布操作模型：确定数据如何进行分布和如 何对分布数据执行操作，如何将全局目录树划分为管理域进行管理——目录管理模型，客户端与服务器通信的协议—目录访问协议DAP，将用户请求在服务器之间 进行链接所需的目录系统协议DSP，将选定的信息在服务器之间进行复制所需的目录信息映像协议DISP，用于自动在服务器之间协商连接配置的目录操作绑定 协议DOP。

　　X.500虽然是一个完整的目录服务协议，但在实际应用的过程中，却存在着不少障碍。由于目录访问协议DAP这种应 用层协议是严格遵照复杂的ISO七层协议模型制定的，对相关层协议环境要求过多，主要运行在UNIX机器上，在许多小系统上，如PC和Macintosh 上无法使用，因此没有多少人按照DAP开发应用程序，TCP/IP协议体系的普及，更使得这种协议越来越不适应需要。

 

2.LDAP目录访问标准

　 　LDAP协议从1993年批准，产生了LDAP V1版本，随后于1997年发布了第三个版本LDAP V3，它的出现是LDAP协议发展的一个里程碑性标志，它使LDAP协议不仅仅作为X.500的简化版，同时提供了LDAP协议许多自有的特性，使 LDAP协议功能更为完备，具有了更大的生命力。

　　LDAP V3协议也不是一个协议，而是一个协议族。RFC 2251——LDAP V3核心协议，定义了LDAP V3协议的基本模型和基本操作；RFC 2252——定义了LDAP V3中的基本数据模式（Schema）（包括语法、匹配规则、属性类型和对象类）以及标准的系统数据模式；RFC 2253——定义了LDAP V3中的分辨名（DN）表达方式；RFC 2254——定义了LDAP V3中的过滤器的表达方式；RFC 2255——LDAP统一资源地址的格式；RFC 2256——在LDAP V3中使用X.500的Schema列表；RFC 2829——定义了LDAP V3中的认证方式；RFC 2830——定义了如何通过扩展使用TLS服务；RFC 1823——定义了C的LDAP客户端API开发接口；RFC 2847——定义了LDAP数据导入、导出文件接口LDIF。

　　在 这些协议中，主要定义了LDAP的内容，同时主要定义了一个信息模型：确定LDAP目录中信息的格式和字符集，如何表示目录信息 (定义对象类、属性、匹配规则和语法等模式)；一个命名空间：确定对信息进行的组织方式——目录信息树DIT，以DN和RDN为基础的命名方式，以及 LDAP信息的Internet表示方式；一个功能模型：确定可以在信息上执行的操作的通讯协议以及在客户端进行这些操作的API接口；一个安全框架：保 证目录中信息的安全，匿名、用户名/密码、SASL等多种认证方式，以及与TLS结合的通讯保护框架；一个分布式操作模型：基于Referral方式的分 布式操作框架；一个LDAP扩展框架：基于控制和扩展操作的LDAP扩展框架 。

　　但在LDAP协议中尚未定义通用的访问控制模型 和复制协议（对应X.500的映射协议DISP），尽管不同的LDAP厂商均实现了自己的控制模型和复制机制，但是LDAP标准的发展正集中在访问控制模 型、复制协议（DUP）以及扩展操作上，这些扩展操作包括查询的分页和排序、语言标签、动态目录、LDAP服务发现等。

 

4. X.500与LDAP的比较分析

从目录服务技术的发展来看，LDAP标准实际上是在X.500标准基础上产生的一个简化版本，两者之间的关系与那种为解决同一个问题出现的两个独立发展的技术有很大的不同之处，因此需要在此基础上对这两个标准进行理解和分析。

　 　首先，作为IETF（Internet Engineering Task Force）一个正式的标准，LDAP是X.500标准中的目录访问协议DAP的一个子集，可用于建立X.500目录。因此这两个目录服务技术标准有着许 多的共同之处，即在平台上，都实现了一个通用的平台结构，提供了一个操作系统和应用程序需要的信息服务类型，可以被许多平台和应用程序接收和实现；在信息 模型上，都使用了项、对象类、属性等概念和模式来描述信息；在命名空间方面，都使用了目录信息树结构和层次命名模型；在功能模型上，都使用了相似的操作命 令来管理目录信息；在认证框架方面，都可以实现用户名称和密码，或者基于安全加密方式的认证机制；在灵活性上，它们的目录规模都可大可小，大到全球目录 树，小到只有一台目录服务器；在分布性方面，目录信息都可以分布在多个目录服务器中，这些服务器可以由各组织管理，既保证了目录信息总体结构一致性，又满 足了分级管理的需要。

　　LDAP与X.500的DAP相同之处是，LDAP也是被设计用来从分层目录中提取信息。但与之不同的是， 为保持网络的带宽， LDAP对来自X.500目录询问的应答次数加以限制。最初LDAP只是一种访问X.500目录的简单方法，是X.500的功能子集，但随着它的成熟和独 立发展，已经增加了许多在X.500中没有的新特性。现在的LDAP既可以为X.500目录服务提供一个轻型前端，也可以实现一个独立的目录服务。

　　LDAP 的独特之处

　　首先，AP（Access Protocol）既是一个X.500的访问协议，又是一个灵活的可以独立实现的目录系统。

　 　其次，DAP（Directory Access Protocol）基于Internet协议，X.500基于OSI（开放式系统互联）协议：建立在应用层上的X.500 目录访问协议DAP，需要在OSI会话层和表示层上进行许多的建立连接和包处理的任务，需要特殊的网络软件实现对网络的访问；LDAP则直接运行在更简单 和更通用的TCP/IP或其它可靠的传输协议层上，避免了在OSI会话和表示层的开销，使连接的建立和包的处理更简单、更快，对于互联网和企业网应用更理 想。

　　再者，LDAP协议更为简单：LDAP继承了X.500最好的特性，同时去掉了它的复杂性。LDAP通过使用查找操作实现列表操作和读操作，另一方面省去了X.500中深奥的和很少使用的服务控制和安全特性，只保留常用的特性，简化了LDAP的实现。

　　其它，LDAP通过引用机制实现分布式访问：X.500 DSA通过服务器之间的链操作实现分布式的访问，这样查询的压力集中于服务器端；而LDAP通过客户端API实现分布式操作（对于应用透明）平衡了负载；

　　最后，LDAP实现具有低费用、易配置和易管理的特点。经过性能测试，LDAP比X.500具有更少的响应时间；LDAP提供了满足应用程序对目录服务所需求的特性。
(http://www.fanqiang.com)

5. LDAP四种基本模型

1.信息模型：描述LDAP的信息表示方式

在 LDAP中信息以树状方式组织，在树状信息中的基本数据单元是条目，而每个条目由属性构成，属性中存储有属性值；LDAP中的信息模式，类似于面向对象的 概念，在LDAP中每个条目必须属于某个或多个对象类（Object Class），每个Object Class由多个属性类型组成，每个属性类型有所对应的语法和匹配规则；对象类和属性类型的定义均可以使用继承的概念。每个条目创建时，必须定义所属的对 象类，必须提供对象类中的必选属性类型的属性值，在LDAP中一个属性类型可以对应多个值。

　　在LDAP中把对象类、属性类型、语 法和匹配规则统称为Schema，在LDAP中有许多系统对象类、属性类型、语法和匹配规则，这些系统Schema在LDAP标准中进行了规定，同时不同 的应用领域也定义了自己的Schema，同时用户在应用时，也可以根据需要自定义 Schema。这有些类似于XML，除了XML标准中的XML定义外，每个行业都有自己标准的DTD或DOM定义，用户也可以自扩展；也如同XML，在 LDAP中也鼓励用户尽量使用标准的Schema，以增强信息的互联互通。

　　在Schema中最难理解的是匹配规则，这是LDAP中为了加快查询的速度，针对不同的数据类型，可以提供不同的匹配方法，如针对字符串类型的相等、模糊、大于小于均提供自己的匹配规则。

2.命名模型：描述LDAP中的数据如何组织

　　LDAP中的命名模型，也即LDAP中的条目定位方式。在LDAP中每个条目均有自己的DN和RDN。DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识，如同文件系统中，带路径的文件名就是DN，文件名就是RDN。

3.功能模型：描述LDAP中的数据操作访问

 

在 LDAP中共有四类10种操作：查询类操作，如搜索、比较；更新类操作，如添加条目、删除条目、修改条目、修改条目名；认证类操作，如绑定、解绑定；其它 操作，如放弃和扩展操作。除了扩展操作，另外9种是LDAP的标准操作；扩展操作是LDAP中为了增加新的功能，提供的一种标准的扩展框架，当前已经成为 LDAP标准的扩展操作，有修改密码和StartTLS扩展，在新的RFC标准和草案中正在增加一些新的扩展操作，不同的 LDAP厂商也均定义了自己的扩展操作。

 

4.安全模型：描述LDAP中的安全机制

LDAP中的安全模型主要通过身份认证、安全通道和访问控制来实现。

　 　身份认证 在LDAP中提供三种认证机制，即匿名、基本认证和SASL（Simple Authentication and Secure Layer）认证。匿名认证即不对用户进行认证，该方法仅对完全公开的方式适用；基本认证均是通过用户名和密码进行身份识别，又分为简单密码和摘要密码认 证；SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。

　　通讯安全在LDAP中提 供了基于SSL/TLS的通讯安全保障。SSL/TLS是基于PKI信息安全技术，是目前Internet上广泛采用的安全服务。LDAP 通过StartTLS方式启动TLS服务，可以提供通讯中的数据保密性、完整性保护；通过强制客户端证书认证的TLS服务，同时可以实现对客户端身份和服 务器端身份的双向验证。

　　访问控制虽然LDAP目前并无访问控制的标准，但从一些草案中或是事实上LDAP产品的访问控制情况，我 们不难看出：LDAP访问控制异常的灵活和丰富，在 LDAP中是基于访问控制策略语句来实现访问控制的，这不同于现有的关系型数据库系统和应用系统，它是通过基于访问控制列表来实现的，无论是基于组模式或 角色模式，都摆脱不了这种限制。

　　在使用关系型数据库系统开发应用时，往往是通过几个固定的数据库用户名访问数据库。对于应用系统 本身的访问控制，通常是需要建立专门的用户表，在应用系统内开发针对不同用户的访问控制授权代码，这样一旦访问控制策略变更时，往往需要代码进行变更。总 之一句话，关系型数据库的应用中用户数据管理和数据库访问标识是分离的，复杂的数据访问控制需要通过应用来实现。

　　而对于LDAP，用户数据管理和访问标识是一体的，应用不需要关心访问控制的实现。这是由于在LDAP中的访问控制语句是基于策略语句来实现的，无论是访问控制的数据对象，还是访问控制的主体对象，均是与这些对象在树中的位置和对象本身的数据特征相关。

　　在LDAP中，可以把整个目录、目录的子树、制定条目、特定条目属性集或符合某过滤条件的条目作为控制对象进行授权；可以把特定用户、属于特定组或所有目录用户作为授权主体进行授权；最后，还可以定义对特定位置（例如IP地址或DNS名称）的访问权。

 

6. LDAP的应用

由 于LDAP所具有的查询效率高、树状的信息管理模式、分布式的部署框架以及灵活而细腻的访问控制，使LDAP广泛地应用于基础性、关键性信息的管理，如用 户信息、网络资源信息等。LDAP的应用主要涉及几种类型。信息安全类：数字证书管理、授权管理、单点登录；科学计算类：DCE (Distributed Computing Envirionment，分布式计算环境)、UDDI （Universal Description，Discovery and Integration, 统一描述、发现和集成协议）；网络资源管理类：MAIL系统、DNS系统、网络用户管理、电话号码簿；电子政务资源管理类：内网组织信息服务、电子政务目 录体系、人口基础库、法人基础库。

　　目前，LDAP已应用在北京大学校园网络用户管理系统、Novell的eProvision应用解决方案、上海公务网统一用户管理、中国数字图书馆系统的用户管理部分，以及北京、上海、天津、福建等省级CA等。

　 　某市公务网中的LDAP应用案例：在该市公务网中具有三个LDAP服务器，一个LDAP服务器为公务网项目中CA的主，一个LDAP 服务器为公务网项目中CA的从，第三个目录服务器存储有上海公务网中的所有用户信息。在该系统中建立了一个基于Web方式的用户管理系统，各个局维护自己 的数据，CA系统中的用户信息以及办公自动化系统、电子邮件系统、授权管理系统、共享资源管理系统，通过RMI接口实现与用户组织树目录服务系统中信息的 同步。

LDAP的英文全称是Lightweight Directory Access Protocol,即轻量级目录访问协议 .我们知道,人们对计算机网络的使用和管理涉及了各种庞杂的资源,信息.为了提高性能,便于使用,有效管理分布式应用的服务,资源,用户及别的对象信息,这些信息需要清晰,一致地组织起来.基于这样的需求,描述各种用户,应用,文件,打印机和其它可从网络访问的资源的信息被集中到一个特殊的数据库中,这种数据库被称为目录.目录存放对象的公开或非公开的信息,这些信息以某种顺序组织,描述了每个对象的细节.电话簿,图书馆藏书卡片目录就是常见的目录.
    

LDAP是基于X.500标准的 ,访问 X.500 目录需要某种协议,例如:目录访问协议 (DAP).然而,DAP 需要大量的系统资源和支持机制来处理复杂的协议.LDAP 仅通过使用原始 X.500目录存取协议 (DAP) 的功能子集而减少了所需的系统资源消耗,而且可以根据需要定制.此外,与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的. 为了能对LDAP协议进行更好的理解,我们需要对以下概念有初步的认识:目录:Directory,存放对象的信息,这些信息以某种顺序组织,详细描述每个对象.

目录信息树:DIT,Directory Information Tree,目录条目的集合构成了目录信息树.

条目:Entry,目录信息树中的一个结点,是一个对象信息的集合,是目录信息中最基本的单位,包含该对象的一系列属性.

属性 :Attribute,属性描述对象的特征.一个属性由属性类型(type)和一个或多个属性值(values)构成.
相对标识名 :RDN,Relative Distinguished Name,条目的名字.
唯一标识名 :DN,Distinguished Name,在一个目录信息树中唯一标识一个条目的名字.
   

LDAP （轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。
目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描
述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的
复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、
jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访问协议—LDAP。

 

LDAP 目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中
表的记录；条目是具有区别名DN（Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于
关系数据库表中的关键字（Primary Key）。属性由类型（Type）和一个或多个值（Values）组成，相当于关系数
据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，
而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置
和组织关系进行组织，非常的直观。LDAP把数据存放在文件中，为提高效率可以使用基于索引的文件数据库，而不
是关系数据库。类型的一个例子就是mail，其值将是一个电子邮件地址。

 

1.1. LDAP是什么
LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。它是基于X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP， 这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
简单说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用，不过根据组织者的需要，它可以做得更加强大。
1.2. LDAP是电话簿
LDAP其实是一电话簿，类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录，也类似于你在花园中所看到的树木。
1.3. LDAP是不是数据库
不 少LDAP开发人员喜欢把LDAP与关系数据库相比，认为是另一种的存贮方式，然后在读性能上进行比较。实际上，这种对比的基础是错误的。LDAP和关系 数据库是两种不同层次的概念，后者是存贮方式（同一层次如网格数据库，对象数据库），前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高 的存贮概念，与关系数据库的查询语言SQL属同一级别。LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得 到查询结果，不过在其它方面，例如更新，就慢得多。
从另一个意义上 LDAP是实现了指定的数据结构的存贮，它是一种特殊的数据库。但是LDAP和一般的数据库不同，明白这一点是很重要的。 LDAP对查询进行了优化，与写性能相比LDAP的读性能要优秀很多。
就 象Sybase、Oracle、Informix或Microsoft的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样，LDAP服务 器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库，但不是关系型数据库。要特别注意的是，LDAP通常作为一个 hierarchal数据库使用，而不是一个关系数据库。因此，它的结构用树来表示比用表格好。正因为这样，就不能用SQL语句了。
2. LDAP的特点
2.1. LDAP的优势
2.1.1 跨平台
LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。
LDAP 协议是跨平台的和标准的协议，因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上，LDAP得到了业界的广泛认可，因为它是 Internet的标准。产商都很愿意在产品中加入对LDAP的支持，因为他们根本不用考虑另一端（客户端或服务端）是怎么样的。LDAP服务器可以是任 何一个开发源代码或商用的LDAP目录服务器（或者还可能是具有LDAP界面的关系型数据库），因为可以用同样的协议、客户端连接软件包和查询命令与 LDAP服务器进行交互。与LDAP不同的是，如果软件产商想在软件产品中集成对DBMS的支持，那么通常都要对每一个数据库服务器单独定制。
2.1.2 费用及维护
不象很多商用的关系型数据库，你不必为LDAP的每一个客户端连接或许可协议付费。
大多数的LDAP服务器安装起来很简单，也容易维护和优化。
2.1.3 复制技术
LDAP服务器可以用"推"或"拉"的方法复制部分或全部数据，例如：可以把数据"推"到远程的办公室，以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。
2.1.4 允许使用ACI
LDAP 允许你根据需要使用ACI（一般都称为ACL或者访问控制列表）控制对数据读和写的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是 不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完 成的，所以不用担心在客户端的应用程序上是否要进行安全检查。
2.2. LDAP存储什么数据
LDAP对于这样存储这样的信息最为有用：也就是数据需要从不同的地点读取，但是不需要经常更新。例如，这些信息存储在LDAP目录中是十分有效的：
l 公司员工的电话号码簿和组织结构图
l 客户的联系信息
l 计算机管理需要的信息，包括NIS映射、email假名，等等
l 软件包的配置信息
l 公用证书和安全密匙
2.3. 什么时候该用LDAP存储数据
大 多数的LDAP服务器都为读密集型的操作进行专门的优化。因此，当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快 一个数量级。也是因为专门为读的性能进行优化，大多数的LDAP目录服务器并不适合存储需要需要经常改变的数据。例如，用LDAP服务器来存储电话号码是 一个很好的选择，但是它不能作为电子商务站点的数据库服务器。
如果下面每一个问题的答案都是"是"，那么把数据存在LDAP中就是一个好主意。
l 需要在任何平台上都能读取数据吗？
l 每一个单独的记录项是不是每一天都只有很少的改变？
l 可以把数据存在平面数据库（flat database）而不是关系型数据库中吗？换句话来说，也就是不管什么范式不范式的，把所有东西都存在一个记录中（差不多只要满足第一范式）。
最 后一个问题可能会唬住一些人，其实用平面数据库去存储一些关系型的数据也是很一般的。例如，一条公司员工的记录就可以包含经理的登录名。用LDAP来存储 这类信息是很方便的。一个简单的判断方法：如果可以把保数据存在一张张的卡片里，就可以很容易地把它存在LDAP目录里。
3. LDAP的基本模型
3.1 信息模型：描述LDAP的信息表示方式
在 LDAP中信息以树状方式组织，在树状信息中的基本数据单元是条目，而每个条目由属性构成，属性中存储有属性值；LDAP中的信息模式，类似于面向对象的 概念，在LDAP中每个条目必须属于某个或多个对象类（Object Class），每个Object Class由多个属性类型组成，每个属性类型有所对应的语法和匹配规则；对象类和属性类型的定义均可以使用继承的概念。每个条目创建时，必须定义所属的对 象类，必须提供对象类中的必选属性类型的属性值，在LDAP中一个属性类型可以对应多个值。
在LDAP中把对象类、属性类型、语法和匹配规则 统称为Schema，在LDAP中有许多系统对象类、属性类型、语法和匹配规则，这些系统Schema在LDAP标准中进行了规定，同时不同的应用领域也 定义了自己的Schema，同时用户在应用时，也可以根据需要自定义Schema。这有些类似于XML，除了XML标准中的XML定义外，每个行业都有自 己标准的DTD或DOM定义，用户也可以自扩展；也如同XML，在LDAP中也鼓励用户尽量使用标准的Schema，以增强信息的互联互通。
在Schema中最难理解的是匹配规则，这是LDAP中为了加快查询的速度，针对不同的数据类型，可以提供不同的匹配方法，如针对字符串类型的相等、模糊、大于小于均提供自己的匹配规则。
3.2 命名模型：描述LDAP中的数据如何组织
LDAP中的命名模型，也即LDAP中的条目定位方式。在LDAP中每个条目均有自己的DN和RDN。DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识，如同文件系统中，带路径的文件名就是DN，文件名就是RDN。
3.3 功能模型：描述LDAP中的数据操作访问
在 LDAP中共有四类10种操作：查询类操作，如搜索、比较；更新类操作，如添加条目、删除条目、修改条目、修改条目名；认证类操作，如绑定、解绑定；其它 操作，如放弃和扩展操作。除了扩展操作，另外9种是LDAP的标准操作；扩展操作是LDAP中为了增加新的功能，提供的一种标准的扩展框架，当前已经成为 LDAP标准的扩展操作，有修改密码和StartTLS扩展，在新的RFC标准和草案中正在增加一些新的扩展操作，不同的LDAP厂商也均定义了自己的扩 展操作。
3.4 安全模型：描述LDAP中的安全机制
LDAP中的安全模型主要通过身份认证、安全通道和访问控制来实现。
3.4.1 身份认证
在 LDAP中提供三种认证机制，即匿名、基本认证和SASL（Simple Authentication and Secure Layer）认证。匿名认证即不对用户进行认证，该方法仅对完全公开的方式适用；基本认证均是通过用户名和密码进行身份识别，又分为简单密码和摘要密码认 证；SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。
3.4.2 通讯安全
在 LDAP中提供了基于SSL/TLS的通讯安全保障。SSL/TLS是基于PKI信息安全技术，是目前Internet上广泛采用的安全服务。LDAP通 过StartTLS方式启动TLS服务，可以提供通讯中的数据保密性、完整性保护；通过强制客户端证书认证的TLS服务，同时可以实现对客户端身份和服务 器端身份的双向验证。
3.4.3 访问控制
虽然LDAP目前并无访问控制的标准，但从一些草案中或是事实上LDAP产品的访问控制情 况，我们不难看出：LDAP访问控制异常的灵活和丰富，在LDAP中是基于访问控制策略语句来实现访问控制的，这不同于现有的关系型数据库系统和应用系 统，它是通过基于访问控制列表来实现的，无论是基于组模式或角色模式，都摆脱不了这种限制。
在使用关系型数据库系统开发应用时，往往是通过几 个固定的数据库用户名访问数据库。对于应用系统本身的访问控制，通常是需要建立专门的用户表，在应用系统内开发针对不同用户的访问控制授权代码，这样一旦 访问控制策略变更时，往往需要代码进行变更。总之一句话，关系型数据库的应用中用户数据管理和数据库访问标识是分离的，复杂的数据访问控制需要通过应用来 实现。
而对于LDAP，用户数据管理和访问标识是一体的，应用不需要关心访问控制的实现。这是由于在LDAP中的访问控制语句是基于策略语句来实现的，无论是访问控制的数据对象，还是访问控制的主体对象，均是与这些对象在树中的位置和对象本身的数据特征相关。
在LDAP中，可以把整个目录、目录的子树、制定条目、特定条目属性集或符合某过滤条件的条目作为控制对象进行授权；可以把特定用户、属于特定组或所有目录用户作为授权主体进行授权；最后，还可以定义对特定位置（例如IP地址或DNS名称）的访问权。

4. LDAP数据结构
LDAP是实现了指定的数据结构的存贮，它包括以下可以用关系数据库实现的结构要求：树状组织、条目认证、类型定义、许可树形记录拷贝。
4.1 树状组织
无 论是X500还是LDAP都是采用树状方式进行记录。每一个树目录都有一个树根的入口条目，子记录全部是这一根条目的子孙。这是目录与关系数据类型最大的 区别（关系数据库的应用结构也可实现树状记录）。因此，把目录看作是更高级的树状数据库也未尝不可，只不过除此外，它不能实现关系存贮的重要功能。
4.2 条目和条目认证
LDAP是以条目作为认证的根据。ROOT的权限认证与目录本身无关，但除此外所有条目的认证权限由条目本身的密码进行认证。LDAP可以配置成各种各样不同的父子条目权限继承方式。
每一个条目相当于一个单一的平面文本记录，由条目自身或指定的条目认证进行访问控制。因此，LDAP定义的存贮结构等同于一批树状组织的平面数据库，并提供相应的访问控制。
条目中的记录以名-值对的形式存在，每一个名值对必须由数据样式schema预定义。因此，LDAP可以看作是以规定的值类型以名值对形式存贮在一系列以树状组织的平面数据库的记录的集合。
4.3 数据样式（schema）
数 据样式schema是针对不同的应用，由用户指定（设计）类和属性类型预定义，条目中的类(objectclass)和属性必须在在LDAP服务器启动时 载入内存的schema已有定义。因此，AD活动目录中的条目记录就必须符合Active Directory的schema中。如果已提供的schema中的定义不够用，用户可以自行定义新的schema.
在http://ldap.akbkhome.com/index.php 中可以看到常用的schema。
4.4 对象类型(objectClass)
因 为LDAP目录可以定制成存储任何文本或二进制数据，到底存什么要由你自己决定。LDAP目录用对象类型（objectclass）的概念来定义运行哪一 类的对象使用什么属性。在几乎所有的LDAP服务器中，你都要根据自己的需要扩展基本的LDAP目录的功能，创建新的对象类型或者扩展现存的对象类型。
条目中的记录通过objectclass实现分类，objectClass是一个继承性的类定义，每一个类定义指定必须具备的属性。如某一条目指定必须符合某个类型，则它必须具备超类所指定的属性。
通过objectclass分类，分散的条目中的记录就实际上建立了一个索引结构，为高速的读查询打下了基础。Objectclass也是过滤器的主要查询对象。
4.5 过滤器和语法
LDAP是一个查询为主的记录结构，无论是何种查询方式，最终都由过滤器缺点查询的条件。过滤器相当于SQL中的WHERE子句。任何LDAP的类过滤和字符串都必须放在括号内，如（objectclass=*）,指列出所有类型的记录（不过分类）。
可以使用=，>=，<=，~=（约等于）进行比较，如(number<=100)。合并条件是最怪的，必须把操作符放在两个操作对象的前面而不是中间，单一操作对象用括号括起来。如
l A与B，不是A&B，而是（&(A)(B)）。
l 或使用"|"表示；
l 非使用"！"表示。
l 对于"与"，或"或"在操作符后可以跟多个条件表达式，但非后则只参是单个表达式。
详见RFC1558。
4.6 树移植
LDAP 最重要的特性和要求并不是读性能，而是扩展性。这一特性是通过树移植和树复制实现的。按LDAP的RFC要求，LDAP目录应该可以任意地在不同的目录间 连接、合并并实现自动复制，及自动性同步。这意味着用户可以在任一LDAP中访问条目，而不用管其中某一部分是否复制自全世界另一目录中的记录，同时另一 目录中的记录同样在正常运作。
这一特性如果在关系数据库中实现，意味着要使用程序化的非规范化预复制。类似于汇总帐目的设计。
4.7 LDIF交换文件
LDIF是LDAP约定的记录交换格式，以平面文本的形式存在，是大部分LDAP内容交换的基础，如拷贝、添加、修改等操作，都是基于LDIF文件进行操作。
4.8 JAVA或CORBA对象串行化存储
网络高效率的访问加上JAVA的跨平台能力，当把JAVA或CORBA对象串行化后存储到LDAP目录上时，可以产生非同一般的集成效果--实际上，这正是EJB和.NET的网络定位基础技术。
使用JAVA或CORBA对象存储时，必须首先让LDAP服务支持该对象定义，也就是说包含qmail.schema或corba.schema。
JAVA 必须存储在objectclass=javacontainer的条目中，而且必须带有cn属性，这意味着除非该JAVA类专门实现了 DirContext接口，对于大多数JAVA类来说，只能采用DirContext代替Context实现bind的添加操作。取出JAVA类相对要简 单得多，只需使用context.lookup()获得该对象的句柄，然后强制造型成所需要的对象就可以了,如：
Person p=(Person)contex.lookup("cn=elvis,dc=daifu,dc=com");
这个句法在EJB的程序中，是经常用到的。
使 用CORBA的跨语言性质，使用CORBA存储对象比JAVA更加诱人，这意味着所存储的对象可以被任何语言编写的客户端访问。其实，微软的.net说到 底也非常简单，无非是把COM对象存储到微软自家的目录ActiveDirectory里面，从而可以在网络范围内使用任何微软平台的语言进行对象访问而 已。众所周知，COM就是与CORBA相对的微软规范。
使用对象串行化技术，可以把常用对象如某个打印机，某个客户直接存储到LDAP中，然后快 速获取该对象的引用，这样，就比把对象信息存储到关系数据库中，分别取出属性，然后再初始化对象操作的做法，效率要高得多了。这是LDAP目前比普通关系 数据库存储要优秀的地方，而对象数据库还不成熟。

评论

11 楼 zerostar88 2010-06-09  

LDAP学习笔记原理教程 (转帖)
http://www.oracle.com.cn/viewthread.php?tid=83829

10 楼 zerostar88 2010-06-02  

OpenLDAP TechTip: Introduction to OpenLDAP Overlays
http://www.symas.com/introtooverlays.shtml

9 楼 zerostar88 2010-05-28  

http://wiki.jabbercn.org/index.php?title=OpenLDAP2.4%E7%AE%A1%E7%90%86%E5%91%98%E6%8C%87%E5%8D%97&diff=cur&oldid=101

8 楼 zerostar88 2010-05-27  

http://www.openldap.org/faq/data/cache/978.html

7 楼 zerostar88 2010-05-27  

http://www.softerra.com/products.htm

http://www.openldap.org/software/man.cgi?query=ldap

6 楼 zerostar88 2010-05-27  

http://www.ldapbrowser.com/

5 楼 zerostar88 2010-05-27  

Setting up LDAP with back-sql
http://www.flatmtn.com/article/setting-ldap-back-sql

4 楼 zerostar88 2010-05-27  

OpenLDAP快速安装指南:
1、获得软件
http://www.openldap.org/software/download/
http://www.openldap.org/software/repo.html

2、解压
gunzip -c openldap-version.tgz | tar xfb -
在当前工作目录下将产生一个ldap子目录。

3、认真阅读readme和install

4、运行configure
./configure

查看configure的可选项
./configure --help

5、编译
make depend
make

6、测试编译结果
cd tests
make

cd ..

7、安装软件
su root -c make install

8、创建slapd的配置文件
编辑/usr/local/etc/slapd.conf文件，该文件中包含下列格式的ldbm数据库定义
database ldbm
suffix "dc=my-domain, dc=com"
rootdn "cn=manager, dc=my-domain, dc=com"
rootpw secret

替换上面的my-domain和com成实际的域名，例如：
database ldbm
suffix "dc=mydomain, dc=com"

3 楼 zerostar88 2010-05-27  

LDAP Classes for Java Sample Code
http://developer.novell.com/documentation/samplecode/jldap_sample/index.htm

2 楼 zerostar88 2010-05-27  

http://www.concentric.net/~adhawan/tutorial/

1 楼 zerostar88 2010-05-27  

http://www.openldap.org/lists/openldap-software/200403/msg00860.html
http://www.openldap.org/doc/admin24/overlays.html#Sync Provider
http://www.openldap.org/doc/admin24/
http://www.openldap.org/software/man.cgi