【LDAP】LDAP概念和原理介绍

一、前言

二、什么是LDAP？

2.1 什么是目录服务？

2.2 LDAP的介绍

2.3 为什么要使用LDAP

三、LDAP的主要产品线

四、LDAP的基本模型

4.1 目录树概念

4.2 LDAP常用关键字列表

4.3 objectClass介绍

五、JXplorer工具使用

一、前言

对于许多的朋友来说，可能听说过LDAP，但是实际中对LDAP的了解和具体的原理可能还比较模糊，今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使用案例”四个方面来做一个介绍。

我们在开始介绍之前先来看几个问题：

我们日常的办公系统是不是有多个，比如OA，财务，jira，gitlab等等
多个系统之间是不是都有独立的账号密码，密码多了，有时候半天想不起来哪个密码对应哪个系统？
每次新项目的开发，都需要重新开发和维护一套用户密码？
维护多套系统的用户是不是非常煎熬？

“LDAP统一认证服务”已经帮助大家解决这些问题了。

二、什么是LDAP？

2.1 什么是目录服务？

　　　　1. 目录服务是一个特殊的数据库，用来保存描述性的、基于属性的详细信息，支持过滤功能。

　　　　2. 是动态的，灵活的，易扩展的。

　　　　如：人员组织管理，电话簿，地址簿。

2.2 LDAP的介绍

LDAP（Lightweight Directory Access Portocol），它是基于X.500标准的轻量级目录访问协议。

目录是一个为查询、浏览和搜索而优化的数据库，它呈树状结构组织数据，类似文件目录一样。

目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录天生是用来查询的，就好象它的名字一样。

LDAP目录服务是由目录数据库和一套访问协议组成的系统。

2.3 为什么要使用LDAP

LDAP是开放的Internet标准，支持跨平台的Internet协议，在业界中得到广泛认可的，并且市场上或者开源社区上的大多产品都加入了对LDAP的支持，因此对于这类系统，不需单独定制，只需要通过LDAP做简单的配置就可以与服务器做认证交互。可以大大降低重复开发和对接的成本。

三、LDAP的主要产品线

LDAP的中文全称是：轻量级目录访问协议（Lightweight Directory Access Protocol），说到底LDAP仅仅是一个访问协议，那么我们的数据究竟存储在什么地方呢？

如下是实现LDAP的产品：

厂商	产品	介绍
SUN	SUNONE Directory Server	基于文本数据库的存储，速度快。
IBM	IBM Directory Server	基于DB2 的的数据库，速度一般。
Novell	Novell Directory Server	基于文本数据库的存储，速度快, 不常用到。
Microsoft	Microsoft Active Directory	基于WINDOWS系统用户，对大数据量处理速度一般，但维护容易，生态圈大，管理相对简单。
Opensource	Opensource	OpenLDAP 开源的项目，速度很快，安全且灵活并已经被包含在众多流行的`Linux`发行版中。

以上产品就是正常存储数据的地方，而访问这些数据就是通过我们上述所说的LDAP协议。

四、LDAP的基本模型

每一个系统、协议都会有属于自己的数据模型，LDAP也不例外，我们先了解几个LDAP的目录树概念：

4.1 目录树概念

1. 目录树：在一个目录服务系统中，整个目录信息集可以表示为一个目录信息树，树中的每个节点是一个条目。

2. 条目：entry可以被称为条目，一个entry就是一条记录，是LDAP中一个基本的存储单元；也可以被看作是一个DN和一组属性的集合。注意，一条entry可以包含多个objectClass，例如李四可以存在于“电话薄”中，也可以同时存在于“同学录”中。每个条目有自己的唯一可区别的名称（DN）。

3. 对象类：与某个实体类型对应的一组属性，对象类是可以继承的，这样父类的必须属性也会被继承下来。

4. 属性：Attribute描述条目的某个方面的信息，一个属性由一个属性类型和一个或多个属性值组成，属性有必须属性和非必须属性。每个条目都可以有很多属性(Attribute),比如常见的人都有姓名、地址、电话等属性.每个属性都有名称及对应的值,属性值可以有单个、多个,比如你有多个邮箱.

4.2 LDAP常用关键字列表

LDAP通过属性objectClass来控制哪一个属性必须出现或允许出现在一个条目中，它的值决定了该条目必须遵守的模式规则。DC、UID、OU、CN、SN、DN、RDN。

关键字	英文全称	含义
dc	Domain Component	域名的部分，其格式是将完整的域名分成几部分，如域名为example.com变成dc=example,dc=com（一条记录的所属位置）
uid	User Id	用户ID songtao.xu（一条记录的ID）
ou	Organization Unit	组织单位，组织单位可以包含其他各种对象（包括其他组织单元），如“oa组”（一条记录的所属组织）
cn	Common Name	公共名称，如“Thomas Johansson”（一条记录的名称）
sn	Surname	姓，如“许”
dn	Distinguished Name	专有名称，“uid=songtao.xu,ou=oa组,dc=example,dc=com”，一条记录的位置（唯一）
rdn	Relative dn	相对专有名称，类似于文件系统中的相对路径，它是与目录树结构无关的部分，如“uid=tom”或“cn= Thomas Johansson”

4.3 objectClass介绍

LDAP中，一个条目(Entry)必须包含一个对象类(objectClass)属性，且需要赋予至少一个值。每一个值将用作一条LDAP条目进行数据存储的模板；模板中包含了一个条目必须被赋值的属性和可选的属性。

objectClass有着严格的等级之分，最顶层是top和alias。例如，organizationalPerson这个objectClass就隶属于person，而person又隶属于top。

objectClass可分为以下3类：

结构型（Structural）：如account、inetOrgPerson、person和organizationUnit；
辅助型（Auxiliary）：如extensibeObject；
抽象型（Abstract）：如top，抽象型的objectClass不能直接使用。

比如我们有一种叫“电话薄”的objectClass，肯定会内置很多属性(attributes)，如姓名(uid)，身份证号(uidNumber)，单位名称(gid)，家庭地址(homeDirectory)等，这些属性(attributes)中，有些是必填的，例如，account就要求userid是必填项，而inetOrgPerson则要求cn(common name,常用名称)和sn(sure name,真实名称)是必填项。