資源描述:
《ldap概念����、體系結構和設計》由會員上傳分享��,免費在線閱讀���,更多相關內容在應用文檔-天天文庫���。
1、概念和體系結構本節(jié)討論SeniorLevelLinuxProfessional(LPIC-3)考試301的301.1主題的內容�����。這個主題的權值為3����。在本節(jié)中,學習:·LDAP和X.500技術規(guī)范·屬性定義·目錄名稱空間·區(qū)別名·LDAPDataInterchange格式·元目錄·changetype操作LPIC-3考試主要針對LightweightDirectoryAccessProtocol(LDAP)的使用��。因此��,第一個目標是了解LDAP是什么�、它的作用是什么以及這個概念背后的一些基本術語。了解了這些知識之后����,就能夠開始設計自己的目錄并將應用程序與目錄集成起來����。
2�、LDAP是什么���?在討論LDAP之前��,先回顧一下目錄的概念�。目錄的典型例子是電話簿�����,電話簿中按照字母表次序列出人名以及他們的電話號碼和地址���。每個人(或家庭)代表一個對象��,電話號碼和地址是這個對象的屬性�。一些對象是企業(yè)而不是個人����,這些對象可能有傳真號碼或營業(yè)時間等屬性�����。與印刷的目錄不同��,計算機目錄本質上是層次化的�,允許將對象放在其他對象下面���,形成父-子關系�。例如����,可以擴展電話目錄,讓它包含代表城市地區(qū)的對象��,每個個人和企業(yè)對象分別歸入對應的地區(qū)對象�����。這些地區(qū)對象歸入城市對象���,城市對象進一步歸入州或省對象�����,依此類推���,形成圖1這樣的層次結構�。這種結構會使印刷的目錄更難使用�,
3、因為需要知道人名和地理位置才能進行查詢���,但是計算機可以對信息進行排序和搜索目錄的不同部分,所以這不是個問題��。圖1.一個示例目錄看一下圖1����,Simpson的記錄表明的信息不僅僅是地址和電話號碼。您還知道他處于Springfield城的東部�����。這個結構稱為樹��。在這里�,樹的根是Springfield對象,其他對象代表分支的不同級別。這種基于目錄的數(shù)據(jù)存儲方式與您熟悉的關系數(shù)據(jù)庫很不一樣�。為了比較這兩種模型,圖2顯示在采用關系數(shù)據(jù)庫模型的情況下電話數(shù)據(jù)的樣子����。圖2.采用關系形式的目錄數(shù)據(jù)在關系模型中,每種類型的數(shù)據(jù)是一個單獨的表����,允許存儲不同類型的信息。每個表還有一個指向父表
4���、的鏈接�,這樣就能夠保存對象之間的關系����。注意,如果要添加更多的信息字段�,就必須修改表的結構。請記住�����,目錄模型沒有對數(shù)據(jù)在磁盤上的存儲方式施加任何限制����。實際上�����,OpenLDAP支持許多種后端�����,包括平面文件和StructuredQueryLanguage(SQL)數(shù)據(jù)庫��。表在磁盤上的布局機制在很大程度上是對用戶隱藏的���。例如�����,ActiveDirectory提供一個LDAP接口來操作它的專有后端����。LDAP的歷史LDAP是在RequestforComments(RFC)1487中提出的,它作為一種訪問X.500目錄的輕量方式���,替代比較復雜的DirectoryAccessProt
5���、ocol(參見參考資料中這個RFC和相關RFC的鏈接)���。X.500是來自InternationalTelecommunicationUnion(ITU,以前稱為CCITT)的一組標準�,指定了如何實現(xiàn)目錄�����。您可能熟悉X.509標準����,這個標準構成大多數(shù)PublicKeyInfrastructure(PKI)和SecureSocketsLayer(SSL)證書的核心�。在此之后����,LDAP發(fā)展到了第3版�,在RFC4511中定義����。最初���,連接X.500數(shù)據(jù)庫需要按照真正的ITU方式使用OpenSystemsInterconnection(OSI)協(xié)議簇,這要求理解大量的協(xié)議文檔���。
6��、LDAP使基于InternetProtocol(IP)的網(wǎng)絡能夠連接相同的目錄���,而且所需的開發(fā)周期比使用OSI協(xié)議時短得多。最終�,IP網(wǎng)絡的流行導致LDAP服務器的出現(xiàn)�����,這些服務器只支持必要的X.500概念���。盡管LDAP和IP戰(zhàn)勝了X.500和OSI�,但是目錄數(shù)據(jù)的底層組織仍然符合X.500�����。本教程中討論的一些概念(比如區(qū)分名和對象標識符)都來自X.500。X.500是一種創(chuàng)建全局目錄系統(tǒng)的方法�����,主要用來協(xié)助用于電子郵件的X.400系列標準。通過一些處理����,LDAP也可以用作全局目錄�����,但是它主要在企業(yè)的內部使用��。命名和屬性在LDAP系統(tǒng)中�����,名稱是非常重要的。名稱使我們
7����、能夠訪問和搜索記錄�,而且名稱常常暗示出記錄在LDAP樹中的位置��。圖3顯示一個典型的LDAP樹��。圖3.一個顯示用戶的典型LDAP樹樹的頂部(即根)是一個稱為dc=ertw,dc=com的實體�����。dc是domaincomponent的簡寫�。因為ertw在頂級域.com下面,所以它們被分成兩個不同的單元����。在使用X.500命名法時�����,用一個逗號連接名稱的各個成分�����,新的成分添加在左邊�。從技術上說�,也可以將根命名為dc=ertw.com����,但是為了保持互操作性,最好將域名的各個成分分隔開(實際上�����,RFC2247建議采用分隔的域名成分)��。dc=ertw,dc=com惟一地標識樹中的
