空间站

北极心空

  BlogJava :: 首页 :: 联系 :: 聚合  :: 管理
  15 Posts :: 393 Stories :: 160 Comments :: 0 Trackbacks
一.LDAP的4中基本模型
       LDAP的体系结构由4中基本模型组成:信息模型描述LDAP的信息表达方式;命名模型描述LDAP的数据如何组织;功能模型描述LDAP的数据操作访问方式;安全模型描述LDAP的安全机制。

       1.信息模型
       LDAP信息模型定义能够在目录中存储的数据类型和基本的信息单位。

       2.命名模型
       LDAP中的命名模型,即LDAP中的条目定位方式。在LDAP中每个条目均有自己的DN(Distinguished Name,标识名)和RDN(Relative Distinguished Name,相对标识名)。DN是该条目在整个数中唯一名称标识。RDN是条目在父节点下唯一名称标识,如同文件系统中,带路径的文件名就是DN,文件名就是RDN.

       3.功能模型
       LDAP功能模型说明了能够使用LDAP协议对目录执行某些操作。在LDAP中共有4类操作(共10种):
       (1)查询类操作,如搜索,比较;
       (2)更新类操作,如添加条目,删除条目,修改条目和修改条目名;
       (3)认证类操作,如绑定,解绑定;
       (4)其它操作,如放弃和扩展操作。

       4.安全模型
       LDAP的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同。3种:
       (1)无认证
       (2)基本认证:当使用LDAP的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名(DN)和口令来标识自己。服务进程检查客户进程发送的分辨名(DN)和密码是否与目录中储存的分辨名(DN)和密码相匹配,如果匹配则认为通过了认证。
       (3)SASL认证:即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证,包括数字证书的认证。
    

       二.LDAP存储结构
       一棵目录信息数由若干条目(Entry)组成,每个条目有惟一的标识名DN,一个条目是一个对象,每个条目由多个“属性(Attribute)”组成,每个属性由一个类型和一个到多个值组成,每个属性可以对应一个或多个“值(Value)”。

       三.LDAP的基本概念
       目录数据库是以目录信息数(Directory Information Tree,DIT)为存储方式的数型存储结构。
*常用关键字及其对应的含义
【dc】-- Domain Component-- 域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com

【uid】-- User ID-- 用户ID,如“tom”

【ou】-- Organization Unit-- 组织单位,类似于Linux文件系统中的子目录,是一个容器对象,组织单位可以包含其他各种对象(包括其他组织单元),如“market”

【sn】-- Surname-- 姓,如“Johansson”

【dn】-- Distinguished Name-- 唯一辨别名,类似于Linux文件系统中的绝对路径,每个对象都有一个唯一的名称,如“uid=tom,ou=market,dc=example,dc=com”,在一个目录树中DN总是唯一的

【rdn】-- Relative dn-- 相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=ton”或“cn=Thomas Johansson”

【c】-- Country -- 国家,如“CN”或“US”等

【o】-- Organization -- 组织名,如“Example,Inc.”


       四.规划目录树
       要实现LDAP,首先要规划目录树,一个灵活且易于扩展的目录树可以减少后期维护目录树的工作量。
       通过例子说明。假设有一个名为Example的公司(DNS名为example.com),其组织结构如下:


     (1)首先要为目录树建立一个“根(Root)”。根是目录树的最顶层,后面建立的所有对象都是基于这个根的,所以它也称为基准DN。它可以有3种格式表示。
     *使用X.500标准格式:o=example,c=CN。
     *直接使用公司的DNS域名:o=example.com。
     *使用公司的DNS域名的不同部分:dc=example,dc=com。
     第3种格式更利于以后目录树的扩展,如将来Example公司合并了abc公司,之需要将dc=com最为根即可,不需要修改原有的结构。

     (2)公司中的部门作为OU,如“ou=market”。OU是目录树的分枝节点,下面可以包含其他分枝节点或叶子节点。

     (3)用户是目录树的最底层(即叶子节点),可以根据用户所在的部门将其放置在不同的OU中,使用uid或cn描述都可以,如“uid=tom”或“cn=Thomas Johansson”。

       四.LDAP服务的应用领域

       由于LDAP所具有的查询效率高,树状的信息管理模式,分布式的部署框架以及灵活而细腻的访问控制,是LDAP广泛地用于基础性,关键性信息(如用户信息,网络资源信息等)的管理。LDAP的应用主要涉及以下几种类型。
     *信息安全类:数字证书管理,授权管理,单点登录。
     *科学计算类:DCE(Distributed Computing Envirionment,分布式计算环境),UDDI(Universal Description,Discovery and Integration,统一描述,发现和集成协议)。
     *网络资源管理类:MAIL系统,DNS系统,网络用户管理,电话号码薄。
     *电子政务资源管理类:内网组织信息服务,电子政务目录体系,人口基础库,法人基础库。


posted on 2007-08-21 11:44 芦苇 阅读(867) 评论(0)  编辑  收藏 所属分类: 其他

只有注册用户登录后才能发表评论。


网站导航: