BlogJava-Junky's IT Notebook-随笔分类-database

SQL SERVER 关于外联接(Outer Join)及其他

junky — Thu, 12 Jul 2007 07:44:00 GMT

一使用外联接

　　以前在Oracle中用=(+)和(+)=来进行左外联接和右外联接；后来用SQL Server时用*=和=*进行外连接左外联接和右外联接；
现在决定用SQL-92的标准方法：[OUTER] JOIN，OUTER是可以省略的。

　　LEFT OUTER JOIN 或 LEFT JOIN 表示左外联接

　　RIGHT OUTER JOIN 或 RIGHT JOIN 表示左外联接

　　FULL OUTER JOIN 或 FULL JOIN 表示左外联接

　　外联接的意思不用多说，我们都懂，但是JOIN到底怎么用呢？没有找到很好的资料，只能从例子中学习了：

　　1、这个例子也许没有实际意义，只是为了说明问题：

CREATE TABLE orders(order_id int, firm_id int, p_id int)
CREATE TABLE firms (firm_id int, f_name int)
CREATE TABLE products(p_id int, p_name int)
select a.order_id, b.f_name, c.p_name
from orders a left join firms b on a.firm_id = b.firm_id
left join products c on a.p_id = c.p_id

　　说明：orders表是主表，先和从表firms进行左联接，再和从表products进行左联接。

　　判断是外联接中的主表还是从表主要看from从句中各个表在LEFT JOIN或RIGHT JOIN两边的位置：LEFT JOIN左边的表是主表，RIGHT JOIN右边的表是主表；

　　ON表达了两个表连接的条件，一般外联接是等值联接，不等值联接意义不大；

　　在多个表的连接中，一个表既可以做主表又同时可以做从表，为了说明这个问题，我们修改以上SQL为：

select a.order_id, b.f_name, c.p_name
from orders a left join firms b on a.firm_id = b.firm_id
right join products c on a.order_id = c.p_id

　　这个SQL没有什么意义，但从中可以看出a表既是b的主表又是c的从表；到底怎么用，还是要根据实际情况来决定是左联接还是右联接；

　　那天，看到了这样一个例子：

create table tab1 (c1 int, c2 int, c3 int)
create table tab2 (c1 int, c2 int, c3 int)
create table tab3 (c1 int, c2 int, c3 int)
create table tab4 (c1 int, c2 int, c3 int)
SELECT *
FROM tab1 LEFT OUTER JOIN tab2 ON tab1.c3 = tab2.c3
left OUTER JOIN tab3 right OUTER JOIN tab4
ON tab3.c1 = tab4.c1
ON tab2.c3 = tab4.c3

　　这种用法还真少见，具体怎么个意思，还在理解中...我把它改写成：

SELECT *
FROM tab1 left JOIN tab2 ON tab1.c3 = tab2.c3
LEFT OUTER JOIN tab4 ON tab2.c3 = tab4.c3
RIGHT OUTER JOIN tab3  ON tab3.c1 = tab4.c1

　　也许它们是一个意思。我发现加个括号，看的更清楚一些（它是个嵌套）

SELECT *
FROM tab1 LEFT OUTER JOIN tab2 ON tab1.c3 = tab2.c3
left OUTER JOIN
(tab3 right OUTER JOIN tab4
ON tab3.c1 = tab4.c1)
ON tab2.c3 = tab4.c3

　　二外联接中 "ON + AND" 与 "ON + WHERE" 的区别

　　1、on条件是外联接时在生成临时表时使用的联结条件，不论从表是确定值还是NULL，主表所有的值都会出现；

　　如果再加上and条件；如果and条件引用的是主表的列，则对结果毫无影响，主表的所有纪录依然会全部出现；如果and条件引用的是从表的列，则不符合条件的从表纪录显示NULL；

　　2、where条件是在临时表生成后，再对临时表进行过滤的条件。临时表中的所有纪录都受影响，不符合条件的纪录被过滤出结果集；

　　3、示例：

select a.module_id, a.name, b.module_name
from fb_autocoding a left join fb_app_module b
on a.module_id = b.module_id
and b.module_internal_label <> 'LO';
select a.module_id, a.name, b.module_name
from fb_autocoding a left join fb_app_module b
on a.module_id = b.module_id
where b.module_internal_label <> 'LO';

　　三其他Join运算

　　merge join：在处理其他联结之前，先把相关两个表联结在一起；

　　hash join：把一个表join到已经被执行过join的结果上；

　　用括号改变join的顺序：

select catalog.item, catalog.item_color, product.item, color.color_name
from catalog full outer join (product cross join color)
on catalog.item = product.item
and catalog.item_color = color.color_name;

junky 2007-07-12 15:44 发表评论

Microsoft LDAP 错误代码

junky — Tue, 26 Jun 2007 04:08:00 GMT

http://support.microsoft.com/kb/218185/

Microsoft Windows 2000 Active Directory 使用 Internet 标准的轻量级目录访问协议 (LDAP) 来访问信息。在响应各种 LDAP 请求时，域控制器会返回包含域 LDAP 错误代码的响应，这些错误代码指示协议操作的状态。本文将介绍这些错误代码。

下表描述了这些错误代码。

     代码                               值      说明
---------------------------------------------------------------------------
LDAP_SUCCESS                      0x00   请求成功。
LDAP_OPERATIONS_ERROR             0x01   LDAP 库初始化失败。
LDAP_PROTOCOL_ERROR               0x02   出现协议错误。
LDAP_TIMELIMIT_EXCEEDED           0x03   超出时间限制。
LDAP_SIZELIMIT_EXCEEDED           0x04   超出大小限制。
LDAP_COMPARE_FALSE                0x05   比较结果为 FALSE。
LDAP_COMPARE_TRUE                 0x06   比较结果为 TRUE。
LDAP_AUTH_METHOD_NOT_SUPPORTED    0x07   不支持此身份验证方法。
LDAP_STRONG_AUTH_REQUIRED         0x08   需要加强的身份验证。
LDAP_REFERRAL_V2                  0x09   LDAP 版本 2 检索。
LDAP_PARTIAL_RESULTS              0x09   接收到部分结果和检索。
LDAP_REFERRAL                     0x0a   出现检索。
LDAP_ADMIN_LIMIT_EXCEEDED         0x0b   超出服务器上的管理限制。
LDAP_UNAVAILABLE_CRIT_EXTENSION   0x0c   没有精密扩展。
LDAP_CONFIDENTIALITY_REQUIRED     0x0d   需要保密。
LDAP_NO_SUCH_ATTRIBUTE            0x10   请求的属性不存在。
LDAP_UNDEFINED_TYPE               0x11   类型未定义。
LDAP_INAPPROPRIATE_MATCHING       0x12   出现不适当的匹配。
LDAP_CONSTRAINT_VIOLATION         0x13   出现约束冲突。
LDAP_ATTRIBUTE_OR_VALUE_EXISTS    0x14   属性已存在或已被赋值。
LDAP_INVALID_SYNTAX               0x15   语法无效。
LDAP_NO_SUCH_OBJECT               0x20   对象不存在。

ld_matched 在LDAP_NO_SUCH_OBJECT

错误返回事件中，这个参数包含DN匹配的程度；
LDAP_ALIAS_PROBLEM                0x21   别名无效。
LDAP_INVALID_DN_SYNTAX            0x22   辨别名的语法无效。
LDAP_IS_LEAF                      0x23   该对象为叶对象。
LDAP_ALIAS_DEREF_PROBLEM          0x24   无法取消对别名的引用。
LDAP_INAPPROPRIATE_AUTH           0x30   身份验证不正确。
LDAP_INVALID_CREDENTIALS          0x31   提供的凭据无效。
LDAP_INSUFFICIENT_RIGHTS          0x32   用户无足够的访问权限。
LDAP_BUSY                         0x33   服务器忙。
LDAP_UNAVAILABLE                  0x34   服务器不可用。
LDAP_UNWILLING_TO_PERFORM         0x35   服务器不处理目录请求。
LDAP_LOOP_DETECT                  0x36   引用链循环回至引用服务器。
LDAP_NAMING_VIOLATION             0x40   存在命名冲突。
LDAP_OBJECT_CLASS_VIOLATION       0x41   存在对象类别冲突。
LDAP_NOT_ALLOWED_ON_NONLEAF       0x42   不允许在非叶对象上操作。
LDAP_NOT_ALLOWED_ON_RDN           0x43   不允许在 RDN 上操作。
LDAP_ALREADY_EXISTS               0x44   对象已存在。
LDAP_NO_OBJECT_CLASS_MODS         0x45   无法修改对象类别。
LDAP_RESULTS_TOO_LARGE            0x46   返回的结果太大。
LDAP_AFFECTS_MULTIPLE_DSAS        0x47   多个目录服务代理受到影响。
LDAP_OTHER                        0x50   出现未知错误。
LDAP_SERVER_DOWN                  0x51   无法联系 LDAP 服务器。
LDAP_LOCAL_ERROR                  0x52   出现本地错误。
LDAP_ENCODING_ERROR               0x53   出现编码错误。
LDAP_DECODING_ERROR               0x54   出现解码错误。
LDAP_TIMEOUT                      0x55   搜索超时。
LDAP_AUTH_UNKNOWN                 0x56   出现未知的身份验证错误。
LDAP_FILTER_ERROR                 0x57   搜索筛选器不正确。
LDAP_USER_CANCELLED               0x58   用户已取消操作。
LDAP_PARAM_ERROR                  0x59   传递给例程的参数不正确。
LDAP_NO_MEMORY                    0x5a   系统内存不足。
LDAP_CONNECT_ERROR                0x5b   无法建立到服务器的连接。
LDAP_NOT_SUPPORTED                0x5c   不支持此功能。
LDAP_CONTROL_NOT_FOUND            0x5d   ldap 函数找不到指定控件。
LDAP_NO_RESULTS_RETURNED          0x5e   不支持此功能。
LDAP_MORE_RESULTS_TO_RETURN       0x5f   将返回其他结果。
LDAP_CLIENT_LOOP                  0x60   检测到客户循环。
LDAP_REFERRAL_LIMIT_EXCEEDED      0x61   超出检索限制。
LDAP_SASL_BIND_IN_PROGRESS        0x0E   多阶段绑定的中间绑定结果

这篇文章中的信息适用于:

?	Microsoft Windows 2000 Server
?	Microsoft Windows 2000 Advanced Server
?	Microsoft Windows 2000 Datacenter Server

详细的英文解释：

蓝色是我的翻译，红色是不能确定的翻译文字，黑色嘛，是原文。

Hex	Decimal	Constant: Description
0×00	0	LDAP_SUCCESS: Indicates the requested client operation completed successfully. 成功，没什么好说的了。
0×01	1	LDAP_OPERATIONS_ERROR: Indicates an internal error. The server is unable to respond with a more specific error and is also unable to properly respond to a request. It does not indicate that the client has sent an erroneous message. 一个内部错误。Server无法正确的 respond 一个request，也无法生成说明错误类型的 respond 。它不代表client 发送了错误的消息。 In NDS 8.3x through NDS 7.xx, this was the default error for NDS errors that did not map to an LDAP error code. To conform to the new LDAP drafts, NDS 8.5 uses 80 (0×50) for such errors. In NDS 8.3x through NDS 7.xx, 这是一个没有映射到 LDAP错误码的NDS缺省错误。为了符合新的 LDAP草案，NDS 8.5使用80 (0×50) 代表这个错误。
0×02	2	LDAP_PROTOCOL_ERROR: Indicates that the server has received an invalid or malformed request from the client. Server 从 client 收到了一个无效的或者格式不正确的request 。
0×03	3	LDAP_TIMELIMIT_EXCEEDED: Indicates that the operation’s time limit specified by either the client or the server has been exceeded. On search operations, incomplete results are returned. 超出了 Server或者Client指定的时间限制。当进行 serach的时候，返回不完全的结果。
0×04	4	LDAP_SIZELIMIT_EXCEEDED: Indicates that in a search operation, the size limit specified by the client or the server has been exceeded. Incomplete results are returned. 在查询的时候，超出了Server或者 Client指定的size限制。返回不完全的结果。
0×05	5	LDAP_COMPARE_FALSE: Does not indicate an error condition. Indicates that the results of a compare operation are false. 不是错误状态。表示比较操作的结果是 false 。
0×06	6	LDAP_COMPARE_TRUE: Does not indicate an error condition. Indicates that the results of a compare operation are true. 不是错误状态。表示比较操作的结果是 true 。
0×07	7	LDAP_AUTH_METHOD_NOT_SUPPORTED: Indicates that during a bind operation the client requested an authentication method not supported by the LDAP server. 当进行bind操作时， client指定的认证方式不被LDAP Server支持。
0×08	8	LDAP_STRONG_AUTH_REQUIRED: Indicates one of the following: In bind requests, the LDAP server accepts only strong authentication. In a client request, the client requested an operation such as delete that requires strong authentication. In an unsolicited notice of disconnection, the LDAP server discovers the security protecting the communication between the client and server has unexpectedly failed or been compromised. 代表下列情况之一：
0×09	9	Reserved. 保留的
0×0A	10	LDAP_REFERRAL: Does not indicate an error condition. In LDAPv3, indicates that the server does not hold the target entry of the request, but that the servers in the referral field may. 不是错误状态。在LDAPv3 中，代表Server无法得到请求的Entry 目标，但是可以介绍一个可能得到的域(field)。
0×0B	11	LDAP_ADMINLIMIT_EXCEEDED: Indicates that an LDAP server limit set by an administrative authority has been exceeded. LDAP Server 的被权限管理指定的有限集合被超出。
0×0C	12	LDAP_UNAVAILABLE_CRITICAL_EXTENSION: Indicates that the LDAP server was unable to satisfy a request because one or more critical extensions were not available. Either the server does not support the control or the control is not appropriate for the operation type. LDAP Server不支持的request ，因为一个或者多个重要的扩展是不允许的。Server 不支持的Control或者Control 对于操作是不恰当的。
0×0D	13	LDAP_CONFIDENTIALITY_REQUIRED: Indicates that the session is not protected by a protocol such as Transport Layer Security (TLS), which provides session confidentiality. Session没有被诸如Transport Layer Security (TLS) 之类的协议保护，无法提供Session机密性。
0×0E	14	LDAP_SASL_BIND_IN_PROGRESS: Does not indicate an error condition, but indicates that the server is ready for the next step in the process. The client must send the server the same SASL mechanism to continue the process. 不是错误状态，代表Server已经为 process的下一步做好了准备。Client必须发送相同的 SASL给Server以继续process 。
0×0F	15	Not used. 未使用。
0×10	16	LDAP_NO_SUCH_ATTRIBUTE: Indicates that the attribute specified in the modify or compare operation does not exist in the entry. 在modify或者 compare操作中指定的属性，在指定Entry中不存在。
0×11	17	LDAP_UNDEFINED_TYPE: Indicates that the attribute specified in the modify or add operation does not exist in the LDAP server’s schema. 在modify或者 add操作中指定的属性，在LDAP Server的 Schema中不存在。
0×12	18	LDAP_INAPPROPRIATE_MATCHING: Indicates that the matching rule specified in the search filter does not match a rule defined for the attribute’s syntax. 在Search Filter 中指定的 rule不能和syntax中的rule 定义匹配。
0×13	19	LDAP_CONSTRAINT_VIOLATION: Indicates that the attribute value specified in a modify, add, or modify DN operation violates constraints placed on the attribute. The constraint can be one of size or content (string only, no binary). 在modify、 add或者modify DN 操作中指定的属性值，触犯了属性中的限制。那些限制是内容长度或者内容只能是String，不能是binary 等。
0×14	20	LDAP_TYPE_OR_VALUE_EXISTS: Indicates that the attribute value specified in a modify or add operation already exists as a value for that attribute. 在modify或者 add操作中指定的属性值，在属性中已经存在了。
0×15	21	LDAP_INVALID_SYNTAX: Indicates that the attribute value specified in an add, compare, or modify operation is an unrecognized or invalid syntax for the attribute. 在add、 compare或者modify 操作中指定的属性值，是不认识或者无效的 syntax 。
	22-31	Not used. 未使用。
0×20	32	LDAP_NO_SUCH_OBJECT: Indicates the target object cannot be found. This code is not returned on following operations: Search operations that find the search base but cannot find any entries that match the search filter. Bind operations. 无法找到目标Object 。在以下操作中不返回这个代码： Search操作中没有找到任何匹配serach filter 的entry。 Bind操作。
0×21	33	LDAP_ALIAS_PROBLEM: Indicates that an error occurred when an alias was dereferenced. 当一个别名被复引用时发生错误。
0×22	34	LDAP_INVALID_DN_SYNTAX: Indicates that the syntax of the DN is incorrect. (If the DN syntax is correct, but the LDAP server’s structure rules do not permit the operation, the server returns LDAP_UNWILLING_TO_PERFORM.) DN的句法不对。( 如果DN句法正确，但是LDAP Server 的结构规则不许可这个操作，Server返回LDAP_UNWILLING_TO_PERFORM 。 )
0×23	35	LDAP_IS_LEAF: Indicates that the specified operation cannot be performed on a leaf entry. (This code is not currently in the LDAP specifications, but is reserved for this constant.) 指定的操作不能被实施于一个叶子Entry 上。( 这个错误码不在当前的LDAP 规范中，但是这个常数为此而保留。 )
0×24	36	LDAP_ALIAS_DEREF_PROBLEM: Indicates that during a search operation, either the client does not have access rights to read the aliased object’s name or dereferencing is not allowed. 在search 操作中， client无权读别名了的对象名或者间接引用是不被许可的。
	37-47	Not used. 未使用。
0×30	48	LDAP_INAPPROPRIATE_AUTH: Indicates that during a bind operation, the client is attempting to use an authentication method that the client cannot use correctly. For example, either of the following cause this error: The client returns simple credentials when strong credentials are required. The client returns a DN and a password for a simple bind when the entry does not have a password defined. 当bind操作过程中， client试图使用不正确的认证方式。例如，以下情况造成这个error： Client返回简单认证当需要strong credentials 的时候。 Client返回 DN和密码为了简单认证，但是 entry没有定义密码。
0×31	49	LDAP_INVALID_CREDENTIALS: Indicates that during a bind operation one of the following occurred: The client passed either an incorrect DN or password. The password is incorrect because it has expired, intruder detection has locked the account, or some other similar reason. 当bind操作过程中发生以下情况： Client传送不正确的DN或者 password 。密码不正确，因为它过期了，入侵检测锁住了帐号，或者其他类似原因。
0×32	50	LDAP_INSUFFICIENT_ACCESS: Indicates that the caller does not have sufficient rights to perform the requested operation. 调用者没有足够的权限执行请求的操作。
0×33	51	LDAP_BUSY: Indicates that the LDAP server is too busy to process the client request at this time but if the client waits and resubmits the request, the server may be able to process it then. LDAP Server太忙以至于无法处理client 的请求，但是如果client等待然后重新提交请求，Server 可能会处理。
0×34	52	LDAP_UNAVAILABLE: Indicates that the LDAP server cannot process the client’s bind request, usually because it is shutting down. LDAP Server不能处理client 的bind请求，通常是因为它down 机了。
0×35	53	LDAP_UNWILLING_TO_PERFORM: Indicates that the LDAP server cannot process the request because of server-defined restrictions. This error is returned for the following reasons: The add entry request violates the server’s structure rules. The modify attribute request specifies attributes that users cannot modify. Password restrictions prevent the action. Connection restrictions prevent the action. LDAP Server不能处理request ，因为Server定义的限制。这个错误在以下原因下发生：
0×36	54	LDAP_LOOP_DETECT: Indicates that the client discovered an alias or referral loop, and is thus unable to complete this request. client 发现一个别名或者引用是循环的，导致这个request 无法完成。
	55-63	Not used. 未使用。
0×40	64	LDAP_NAMING_VIOLATION: Indicates that the add or modify DN operation violates the schema’s structure rules. For example, The request places the entry subordinate to an alias. The request places the entry subordinate to a container that is forbidden by the containment rules. The RDN for the entry uses a forbidden attribute type. 在 add或者 modify DN操作中违反Schema的结构规则。例如：请求放置entry在别名下请求放置entry在被包含规则禁止的容器中 Entry的RDN使用了禁止的属性类型
0×41	65	LDAP_OBJECT_CLASS_VIOLATION: Indicates that the add, modify, or modify DN operation violates the object class rules for the entry. For example, the following types of request return this error: The add or modify operation tries to add an entry without a value for a required attribute. The add or modify operation tries to add an entry with a value for an attribute which the class definition does not contain. The modify operation tries to remove a required attribute without removing the auxiliary class that defines the attribute as required. 在 add、 modify或者modify DN操作中违反 entry的object class规则。例如，下面类型的 request导致这个错误：
0×42	66	LDAP_NOT_ALLOWED_ON_NONLEAF: Indicates that the requested operation is permitted only on leaf entries. For example, the following types of requests return this error: The client requests a delete operation on a parent entry. The client request a modify DN operation on a parent entry. 请求的操作只允许在叶子entry上执行。例如下面类型的 request导致这个错误：
0×43	67	LDAP_NOT_ALLOWED_ON_RDN: Indicates that the modify operation attempted to remove an attribute value that forms the entry’s relative distinguished name. modify操作试图删除关联着DN 的属性值。
0×44	68	LDAP_ALREADY_EXISTS: Indicates that the add operation attempted to add an entry that already exists, or that the modify operation attempted to rename an entry to the name of an entry that already exists. add操作试图加一个已经存在的Entry ，或者modify操作试图重命名Entry 为一个已经存在的entry的名字。
0×45	69	LDAP_NO_OBJECT_CLASS_MODS: Indicates that the modify operation attempted to modify the structure rules of an object class. modify操作试图改变object class 的结构规则。
0×46	70	LDAP_RESULTS_TOO_LARGE: Reserved for CLDAP. 为CLDAP保留。
0×47	71	LDAP_AFFECTS_MULTIPLE_DSAS: Indicates that the modify DN operation moves the entry from one LDAP server to another and thus requires more than one LDAP server. modify DN的操作移动Entry 从一个LDAP Server到另一个，造成需要超过一个LDAP Server 。
	72-79	Not used. 未使用
0×50	80	LDAP_OTHER: Indicates an unknown error condition. This is the default value for NDS error codes which do not map to other LDAP error codes. 一个未知的error状态。这是 NDS中没有映射到其他LDAP错误码上的错误码的缺省值。

junky 2007-06-26 12:08 发表评论

LDAPErrorCodes

junky — Tue, 26 Jun 2007 02:33:00 GMT

摘要: Hex Decimal Constant: Description 0x00 0 ... 阅读全文

junky 2007-06-26 10:33 发表评论

OpenLDAP快速上手(转)

junky — Wed, 06 Jun 2007 07:45:00 GMT

OpenLDAP 快速上手

Ben 的项目里面要用到 OpenLDAP, 我的项目里面也要用到 LDAP, 所以这 2 天集中看了一下 LDAP 相关的内容。做了个笔记，也算是为人类知识的积累做点或有或无的贡献。

OpenLDAP 的官方站点是 http://www.openldap.org 。

上面有个 QuickStart, 我将大致按照这个来讲解。

一、安装
在官方站点上发布的是 linux/unix 下的 OpenLDAP 源文件，当然也很容易找到 windows 系统下的版本。笔者学习安装的就是 windows 版本的。

二、配置

OpenLDAP 有 2 个用户最关注的配置文件。

一个是 slapd.conf ， 在他里面定义了最基本的 DN 以及管理员的账号和密码。

另一个是 LDIF 的文件。在它里面可以配置所有的用户和组织。

1、 我们先来了解 LDAP 的相关概念。
我们知道 LDAP 的全称为（ Lightweight Directory Access Protocol ），即轻量级目录访问协议。

Ldap 是怎样的一个结构呢 ？用官方的话说：“ In LDAP, directory entries are arranged in a hierarchical tree-like structure. Traditionally, this structure reflected the geographic and/or organizational boundaries. Entries representing countries appear at the top of the tree. Below them are entries representing states and national organizations. Below them might be entries representing organizational units, people, printers, documents, or just about anything else you can think of.. ”他是一个树状的结构。每一个节点被称为一个 Entry 。这些 Entry 有着有趣的含义。

下面是他的 2 个实例。一个反映了 geographic ，一个反映了 organizational 。

传统命名

网络命名

我们来看看个个节点的定义方式。

每个 Entry 都有一个自己得一个标示 ，我们把他叫 DN(Distinguished Name) ，这个 dn 包含了一个 RDN （ Relative Distinguished Name ）。在上面的第二个图例中，Barbara Jensen的RDN是 uid=babs，他的dn是 uid=babs,ou=People,dc=example, dc=com。

每个节点都需要一个类别 ， 这个类别信息用objectClass来表示。ObjectClass就是该节点的schema,他定义了该节点该有和不该有的属性。默认的objectClass都在schema/core.schema中有定义。如果在你的配置过程中出现了关于找不到objectClass的问题，您不妨参看一下这里面有没有你用到的objectClass . 在schema文件夹下还有其他一些schema文件,你也可以定义自己的schema.想要加载其他的schema,你可以在slapd.conf文件中用include加入.如:include ./schema/core.schema. 为了方便识别，其实我们在DN里面用的都是objectClass的简写形式。如：ou代表organizationUnit，c代表country,st代表state,dc代表？？等。

2、 来看看 slapd.conf 这个文件
这个文件的主要信息是如下几行：

database bdb

suffix "dc=,dc="

rootdn "cn=Manager,dc=,dc="

rootpw secret

directory /usr/local/var/openldap-data

定义了数据库，最基本的后缀，管理员的 dn 和密码，以及数据存放路径。

编辑好这个文件，我们就可以启动了。

如果你把 ldap 安装为 windows 服务，你可以像我一样启动：

net start OpenLDAP-slapd

3、 我们主要操作的就是这个 LDIF 文件
我们需要在这个文件里面加入所需要的 dn.

注意，因为我们在 slapd.conf 中定义了一个 base dn 和一个管理员 dn ，所以我们需要首先把这 2 个 dn 加进来。

dn: dc=,dc=

objectclass: dcObject

objectclass: organization

dc:

dn: cn=Manager,dc=,dc=

objectclass: organizationalRole

cn: Manager

保存为 ldif 后缀的文件。然后我们用命令把这些信息加到 ldap 中去：

ldapadd -x -D "cn=Manager,dc=,dc=" -W -f example.ldif

让我们来查看以下我们的设置是否出现问题：

ldapsearch -x -b 'dc=example,dc=com' '(objectclass=*)'

上面的是 linux/unix 下的命令， windows 下我们需要做点更改：

ldapsearch -x -b dc=example,dc=com (objectclass=*)

对，就是去掉引号。

为了察看方便，笔者建议使用 GUI 工具来查看，比如笔者使用的 Softerra LDAP Browser 2.6 。

三、和 java 集成
我们的 ldap Server 已经搭建起来了，我们需要在我们的 java 程序中访问这个服务。

Openldap.org 上有没有讲？有讲？下面介绍的 JLDAP 就是干这个的。

我们需要看一下“ Java LDAP Overview ”里面的内容。内容不是很多，但很实用。

要在 java 中访问 ldap ，我们需要一套 api, 你可以在下面的网站上获得：

http://developer.novell.com/wiki/index.php/LDAP_Classes_for_Java

在下在的文件里面有许多的例子，在 novell 的网站上也有很多的例子。我就不讲了。 Try yourself 。

junky 2007-06-06 15:45 发表评论

openldap学习笔记(使用openldap-2.3.32)(详细)

junky — Wed, 06 Jun 2007 06:43:00 GMT

本文系作者原创，转载请保留出处：http://marion.cublog.cn
其中理解可能也有不当之处，欢迎各位指正。

第一部分：openldap介绍

一、Directory Services(目录服务)能做什么？

我们知道，当局域网的规模变的越来越大时，为了方便主机管理，我们使用DHCP来实现IP地址、以太网地址、主机名和拓扑结构等的集中管理和统一分配。同样，如果一个局域网内有许多的其它资源时，如打印机、共享文件夹等等，为了方便的定位及查找它们，一种集中定位管理的方式或许是较好的选择，DNS和NIS都是用来实现类似管理的方法。

对于局域网内的一个用户来讲，工作等其它应用需要，我们必须凭帐号登录主机、用帐号收发E-mail，甚至为了管理需要公司还需要维护一个电子号码簿来存储员工的姓名、地址、电话号码等信息。随着时间的增长，我们会为这些越来越多的帐号和密码弄的头晕脑胀。同时，如果一个员工离开，管理员就不得不翻遍所有的记录帐号信息的文件把离职员工的信息删除。这些将是一个繁琐而效率低下的工作。那么，如果能将此些帐号信息等统一到一个文件中进行管理，无疑会大大提高员工及管理员的工作效率。目录服务（LDAP是其实现的一种）正是基于这些应用实现的。

二、什么是LDAP？

LDAP是Lightweight Directory Access Protocol的缩写，顾名思义，它是指轻量级目录访问协议（这个主要是相对另一目录访问协议X.500而言的；LDAP略去了x.500中许多不太常用的功能，且以TCP/IP协议为基础）。目录服务和数据库很类似，但又有着很大的不同之处。数据库设计为方便读写，但目录服务专门进行了读优化的设计，因此不太适合于经常有写操作的数据存储。同时，LDAP只是一个协议，它没有涉及到如何存储这些信息，因此还需要一个后端数据库组件来实现。这些后端可以是bdb(BerkeleyDB)、ldbm、shell和passwd等。

LDAP目录以树状的层次结构来存储数据（这很类同于DNS），最顶层即根部称作“基准DN”，形如"dc=mydomain,dc=org"或者"o=mydomain.org"，前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录，为了把这些大量的数据从逻辑上分开，LDAP像其它的目录服务协议一样使用OU（Organization Unit），可以用来表示公司内部机构，如部门等，也可以用来表示设备、人员等。同时OU还可以有子OU，用来表示更为细致的分类。

LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN（Distinguished Name）,其处在“叶子”位置的部分称作RDN；如dn:cn=tom,ou=animals,dc=mydomain,dc=org中tom即为RDN；RDN在一个OU中必须是唯一的。

三、什么是LDIF？

LDIF(LDAP Interchange Format)是指存储LDAP配置信息及目录内容的标准文本文件格式，之所以使用文本文件来格式来存储这些信息是为了方便读取和修改，这也是其它大多数服务配置文件所采取的格式。LDIF文件常用来向目录导入或更改记录信息，这些信息需要按照LDAP中schema的格式进行组织，并会接受schema的检查，如果不符合其要求的格式将会出现报错信息。LDIF文件样例如下：

#LDIF file example
dn: dc=mydomain,dc=org
objectClass: domain
dc: mydomain

其中，以“#”号开头的为注释行；第二行起的行中，冒号左边为属性，右边是属性的值，这类同于编程中的变量及为其所赋的值，但属性可以被重复赋值。

四、objectClass

LDAP中，一条记录必须包含一个objectClass属性，且其需要赋予至少一个值。每一个值将用作一条LDAP记录进行数据存储的模板；模板中包含了一条记录中数个必须被赋值的属性和一系列可选的属性。如上述LDIF文件中的记录所示，objectClass的值为domain。

objectClass有着严格的等级之分，最顶层的类是top和alias。例如，organizationalPerson这个objectClass隶属于Person,而Person又是top的子类。

objectClass大致分为三类：结构型的（如：person和organizationUnit）、辅助型的（如：extensibeObject）和抽象型的（这类不能直接使用）。官方定义的objectClass,如下所示：

alias
applicationEntity
dSA
applicationProcess
bootableDevice
certificationAuthority
certificationAuthority-V2
country
cRLDistributionPoint
dcObject
device
dmd
domain
domainNameForm
extensibleObject
groupOfNames
groupOfUniqueNames
ieee802Device
ipHost
ipNetwork
ipProtocol
ipService
locality
dcLocalityNameForm
nisMap
nisNetgroup
nisObject
oncRpc
organization
dcOrganizationNameForm
organizationalRole
organizationalUnit
dcOrganizationalUnitNameForm
person
organizationalPerson
inetOrgPerson
uidOrganizationalPersonNameForm
residentialPerson
posixAccount
posixGroup
shadowAccount
strongAuthenticationUser
uidObject
userSecurityInformation

五、Attribute介绍

如上文所述，Attribute类同于编程语言中的变量，它可以被赋值，就像是可以存放一个单一类型信息的容器。官方声明了许多常用的Attribute,如果其中没有你所需要的，你可以自己定义，但要避免重名。objectClass是一种特殊的Attribute，它包含其它用到的Attribute以及它自身。常见的Attribute如：givenName、l、objectClass、dc、ou、cn、c、mail、telephoneNumber、sn、uid等。分别介绍如下：

c:国家；
cn:common name,指一个对象的名字；如果指人，需要使用其全名；
dc:domain Component,经常用来指一个域名的一部分，如：dc=mydomain,dc=org;
givenName：指一个人的名字，不能用来指姓或者middle name；
l:指一个地名，如一个城市或者其它地理区域的名字；
mail:电子信箱地址
o:organizationName,指一个组织的名字;
objectClass:一个LDAP server要想启用必须能够识别每一个对象的Attribute，objectClass Attribute正是用来描述一个对象应该具有的Attribute及可选Attribute。因此，每个objectClass“模板”的Attribute中必然含有一条objectClass Attribute，我不知道用“自包含”称呼这个算不算合适。
ou:organizationalUnitName,指一个组织单元的名字。
sn:surname,指一个人的姓;
telephoneNumber:电话号码，应该带有所在的国家的代码；
uid:userid,通常指一个人的登录名，这个不同于Linux系统中用户的uid；

如果可以这样类比的话，我想，我们不妨把objectClass理解为关系数据库的表，而attribute则类同为表中的字段。而下面即可介绍的schema或许可以类比作一个数据库，但它的这个类比或许从逻辑上说更合适些。

六、什么是schema

      好了，现在可以说说到底什么是schema了。LDAP中，schema用来指定一个目录中所包含的objects的类型（objectClass）以及每一个objectClass中的各个必备（mandatory）和可选（optional）的属性（attribute）。因此，Schema是一个数据模型，它被用来决定数据怎样被存储，被跟踪的数据的是什么类型，存储在不同的Entry下的数据之间的关系。schema需要在主配置文件slapd.conf中指定，以用来决定本目录中使用到的objectClass。管理员可以自己设计制定schema，一般包括属性定义（AttributeDefinition）、类定义（ClassDefinition）以及语法定义（SyntaxDefinition）等部分。

LDAP V3中在x.500标准的基础上定义了一个包含了网络中大多常见对象的schema，这些对象包括国家、所在地、组织、人员、小组以及设备等。同时，LDAP V3中可以很方便的从目录中提取出schema，它正是一条记录中关于属性的声明部分。

七、对象标识符（Object Identifiers）

   对象标识符（OID）是被LDAP内部数据库引用的数字标识。Attribute的名字是设计为方便人们读取的，但为了方便计算机的处理，通常使用一组数字来标识这些对象，这类同于SNMP中的MIB2。例如，当计算机接收到dc这个Attribute时，它会将这个名字转换为对应的OID：1.3.6.1.4.1.1466.115.121.1.26。

八、使用LDAP做身份验正

验正主要是用来确定一次会主中客户端用户所具有的权利，即用来确立用户能否登录以及登录具有使用哪些资源以及如何使用资源的权限。验正过程中的修改、查询等操作由认证级别来控制。

objectClass中的person可以用来作linux系统中用户登入的身份验正，此时需要指定userPassword属性的值，即指定用户登入时使用的密码。密码可以使用的加密方式有MD5、CRYPT、SHA、SSHA等。在LDAP V3中，验正客户端时可以使用的验正机制有匿名验正、简单验正、基于SSL/TLS的验正和基于SASL的验正等四种方式。

第二部分：安装配置Openldap-2.3.32

目前有许多种软件可以实现LDAP，如Windows AD,Openldap等。我们要实现的是在RedHat9.0上安装Openldap来实现其应用。

为了让openldap支持ssl/tls和sasl，我们这次的安装将首先安装openssl0.98e和cyrus-sasl-2.0.22这两个软件包。

一、安装openssl0.98e

1.1 下载相关软件包至/usr/local/src目录

http://www.openssl.org/source/openssl-0.9.8e.tar.gz

1.2 安装openssl

#cd /usr/local/src
#tar zxvf openssl-0.9.8e.tar.gz
#cd openssl-0.9.8e
#./config shared zlib
#make
#make test
#make install
mv /usr/bin/openssl /usr/bin/openssl.OFF
mv /usr/include/openssl /usr/include/openssl.OFF
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl

1.3 配置库文件搜索路径

#echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
#ldconfig -v

1.4 查看openssl的版本号，以验正是否安装正确

#openssl version -a
OpenSSL 0.9.8e 17 Apr 2007
built on: Sat Mar 24 21:24:41 CST 2007
platform: linux-elf
options:  bn(64,32) md2(int) rc4(idx,int) des(ptr,risc1,16,long) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DL_ENDIAN -DTERMIO -O3 -fomit-frame-pointer -Wall -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DSHA1_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM
OPENSSLDIR: "/usr/local/ssl"

二、安装cyrus-sasl-2.0.22

2.1 下载cyrus-sasl-2.1.22到/usr/local/src
http://ftp.andrew.cmu.edu/pub/cyrus-mail/cyrus-sasl-2.1.22.tar.gz

2.2 编译安装

#tar zxvf cyrus-sasl-2.1.22.tar.gz
#cd  cyrus-sasl-2.1.22
# ./configure --prefix=/usr/local/sasl2 --enable-login --with-openssl=/usr/local/ssl
#make
#make install

2.3配置库文件搜索路径

#echo "/usr/local/sasl2/lib" >> /etc/ld.so.conf
#echo "/usr/local/sasl2/lib/sasl2" >> /etc/ld.so.conf
#ldconfig -v

2.4 把Redhat9.0原有的sasl库文件改名或删除，并将相关符号链接指向新安装SASL的库文件

#cd /usr/lib
# mv libsasl2.a libsasl2.a.OFF
# mv libsasl2.la libsasl2.la.OFF
# mv libsasl2.so libsasl2.so.OFF
# mv libsasl2.so.2.0.10 libsasl2.so.2.0.10.OFF
# mv lIbsasl2.so.2 libsasl2.so.2.OFF

# ln -s /usr/local/sasl2/lib/* /usr/lib
# ln -s /usr/local/sasl2/lib/sasl2 /usr/lib/sasl2

#ln -s /usr/local/sasl2/lib/libsasl2.so.2.0.22 /usr/lib/libsasl2.so.2
#ln -s /usr/local/sasl2/lib/libsasl2.so /usr/lib/libsasl2.so

2.5 创建运行时需要的目录并调试启动

#mkdir -pv /var/state/saslauthd

# ./saslauthd -a pam shadow -d
saslauthd[3533] :main          : num_procs  : 5
saslauthd[3533] :main          : mech_option: NULL
saslauthd[3533] :main          : run_path : /var/state/saslauthd
saslauthd[3533] :main          : auth_mech  : pam
saslauthd[3533] :ipc_init       : using accept lock file: /var/state/saslauthd/mux.accept
saslauthd[3533] :detach_tty    : master pid is: 0
saslauthd[3533] :ipc_init       : listening on socket: /var/state/saslauthd/mux
saslauthd[3533] :main          : using process model
saslauthd[3534] :get_accept_lock : acquired accept lock    （此处使用"ctrl+c"退出）
saslauthd[3533] :have_baby    : forked child: 3534
saslauthd[3533] :have_baby    : forked child: 3535
saslauthd[3533] :have_baby    : forked child: 3536
saslauthd[3533] :have_baby    : forked child: 3537

2.6 启动并测试验正

#/usr/local/sasl2/sbin/saslauthd -a pam shadow

#/usr/local/sasl2/sbin/testsaslauthd -u root -p root的密码
0: OK "Success."

三、安装BerkeleyDB

3.1 下载相关软件至/usr/local/src

http://www.oracle.com/technology ... .5.20/db-targz.html

3.2 编译安装

#tar zxvf db-4.5.20.tar.gz
#cd db-4.5.20/build_unix
#../dist/configure --prefix=/usr/local/BerkeleyDB
#make
#make install

四、安装openldap-2.3.32

4.1 下载相关软件至/usr/local/src

http://www.openldap.org/software ... stable-20070110.tgz

4.2 编译安装

#tar zxvf openldap-stable-20070110.tgz
#cd openldap-2.3.32
#env CPPFLAGS="-I/usr/local/BerkeleyDB/include -I/usr/local/sasl2/include" LDFLAGS="-L/usr/local/BerkeleyDB/lib -L/usr/local/sasl2/lib -L/usr/local/sasl2/lib/sasl2"  ./configure --prefix=/usr/local/openldap --sysconfdir=/etc/openldap --enable-passwd --enable-wrappers --disable-ipv6 --enable-spasswd --enable-crypt --enable-modules  --enable-accesslog=yes
#make depend
#make
#make test
#make install
#cp /usr/local/openldap/var/openldap-data/DB_CONFIG.example /usr/local/openldap/var/openldap-data/DB_CONFIG

4.3 测试启动

# /usr/local/openldap/libexec/slapd -d 256
@(#) $OpenLDAP: slapd 2.3.32 (Apr 17 2007 00:44:16) $
      root@localhost.localdomain:/usr/local/src/openldap-2.3.32/servers/slapd
Expect poor performance for suffix dc=my-domain,dc=com.
slapd starting

4.4 启动及关闭服务

启动
#/usr/local/openldap/libexec/slapd

查看监听的端口
# netstat -tunlp |grep :389
tcp       0    0 0.0.0.0:389          0.0.0.0:*             LISTEN    10111/slapd

查看能否正常查询
# /usr/local/openldap/bin/ldapsearch -x -b '' -s base '(objectclass=*)' (此行为命令，以下为结果)
# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectclass=*)
# requesting: ALL
#

#
dn:
objectClass: top
objectClass: OpenLDAProotDSE

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

关闭
#kill -INT `cat /usr/local/openldap/var/run/slapd.pid`

五、主配置文件slapd.conf介绍

安全起见，slapd.conf文件应该只让运行此进程的用户可读写。下面是安装完毕后的一个slapd.conf示例。

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include       /etc/openldap/openldap/schema/core.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral    ldap://root.openldap.org

pidfile       /usr/local/openldap/var/run/slapd.pid
argsfile       /usr/local/openldap/var/run/slapd.args

# Load dynamic backend modules:
# modulepath /usr/local/openldap/libexec/openldap
# moduleload back_bdb.la
# moduleload back_ldap.la
# moduleload back_ldbm.la
# moduleload back_passwd.la
# moduleload back_shell.la

# Sample security restrictions
#    Require integrity protection (prevent hijacking)
#    Require 112-bit (3DES or better) encryption for updates
#    Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#    Root DSE: allow anyone to read it
#    Subschema (sub)entry DSE: allow anyone to read it
#    Other DSEs:
#             Allow self write access
#             Allow authenticated users read access
#             Allow anonymous users to authenticate
#    Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#    by self write
#    by users read
#    by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#############################################################
# BDB database definitions
#############################################################

database       bdb
suffix       "dc=my-domain,dc=org"
rootdn       "cn=Manager,dc=mydomain,dc=org"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw       secret
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 reorgmended.
directory    /usr/local/openldap/var/openldap-data
# Indices to maintain

index objectClass    eq

接下来我们对上述部分进行一些介绍：

include       /etc/openldap/openldap/schema/core.schema

此句是用来将目录所用到的schema文件包含进来；openldap一般默认带有几个schema，在我们的配置文件安装目录下的schema目录中存放。本句中的core.schema是LDAP V3中必须的，它给出了LDAP V3中最基本的attribute和objects的定义。其它的还有：corba.schema、dyngroup.schema、java.schema  nis.schema、openldap.schema、cosine.schema、inetorgperson.schema、misc.schema、ppolicy.schema

pidfile       /usr/local/openldap/var/run/slapd.pid

此句用来定义slapd进程运行时的pid文件，需要使用绝对路径。

argsfile       /usr/local/openldap/var/run/slapd.args

此句用来定义包含当前正在运行的slapd进程所用到的命令行参数的文件，需要使用绝对路径。

# Load dynamic backend modules:
# modulepath /usr/local/openldap/libexec/openldap
# moduleload back_bdb.la
# moduleload back_ldap.la
# moduleload back_ldbm.la
# moduleload back_passwd.la
# moduleload back_shell.la

以上用来指定动态加载的后端模块。

# Sample security restrictions
#    Require integrity protection (prevent hijacking)
#    Require 112-bit (3DES or better) encryption for updates
#    Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

以上是安全相关的声明语句。常用到的参数有五类，除了Require和security外还有Allow、Disallow和password-hash等。
Require参数用来使管理员指定访问目录时必须遵循的规则和条件；这种指定可以是全局的，也可以仅用来限制对某个后端数据库的访问限制。
security参数用来让管理员指定加强安全性的一般规则。

# Sample access control policy:
#    Root DSE: allow anyone to read it
#    Subschema (sub)entry DSE: allow anyone to read it
#    Other DSEs:
#             Allow self write access
#             Allow authenticated users read access
#             Allow anonymous users to authenticate
#    Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#    by self write
#    by users read
#    by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

以上主要是用来定义访问控制列表。

#######################################################################
# BDB database definitions
#######################################################################

database       bdb

定义使用的后端数据存储方式。其后可以跟的值有bdb、ldbm、passwd、config、dnssrv、ldif、perl、hdb和shell等。bdb指使用Berkley DB 4数据库。

suffix       "dc=my-domain,dc=org"

定义suffix,以上部分可以改作你的域名中相关的部分，如"dc=example,dc=com"。

rootdn       "cn=Manager,dc=mydomain,dc=org"

定义此目录的超级管理员帐号，类同于系统中的root。由于访问控制对此用户是不生效的，因此存在很大的安全隐患。建议安装配置及调试完成以后移除此帐号。

rootpw       secret

定义超级管理员帐号的密码，这里使用的是明文存储（secret即是其密码）的方式。这是极不安全的，建议使用加密方式存储，可以使用的加密方式有：CRYPT、MD5、SMD5、SHA和SSHA。产生加密密码散列的方法是使用slappasswd命令，用-h选项指明加密时使用的方式。示例如下：
# /usr/local/openldap/sbin/slappasswd -h {SSHA}
New password:
Re-enter new password:
{SSHA}k2H1GPM/95VfgsKg2jZv9hV+2GCH04hC

directory    /usr/local/openldap/var/openldap-data

这一句用来指定目录相关数据的存放位置。此目录最好只能由运行slapd进程的用户所有，推荐权限为700

index objectClass    eq

此句用来指定slapd索引时用到的attribute，eq指索引时的匹配规则。主要是用来优化查询的。常用到的匹配规则有：approx（模糊匹配,approximate）、eq（精确匹配，equality）、pres（现值匹配，若某记录的此attribute没有值则不进行匹配，presence）和sub （子串匹配，substring）。

六、具体应用的实现：建立起始目录项，并导入数据

6.1 先建立一个创建起始结点所用的ldif文件

#vi init.ldif

输入以下内容（可以根据自己的需要修改）
dn: dc=mydomain,dc=org  #定义根结点
objectClass: top
objectClass: domain
objectClass: organization
dc: mydomain
o: mydomain.org
description:  Mydomain.org ldap

dn: cn=Manager,dc=mydomain,dc=org #定义目录管理员
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=people,dc=mydomain,dc=org  #定义一个OU
ou: people
objectClass: organizationalUnit

注意：ldif文件中，每一行中冒号后有一个空格，行尾一定不能有空格。切记!

6.2使用离线import命令导入到目录中,需要离线进行（要先关闭slapd进程）

#kill -INT `cat /usr/local/openldap/var/run/slapd.pid`
# /usr/local/openldap/sbin/slapadd -v -l ./init.ldif
bdb_db_open: Warning - No DB_CONFIG file found in directory /var/openldap/data-3: (2)
Expect poor performance for suffix dc=mydomain,dc=org.
added: "dc=mydomain,dc=org" (00000001)
added: "ou=people,dc=mydomain,dc=org" (00000002)

命令中：
-v选项表示启用verbose模式，即输出执行中的具体信息；
-l表示后面附加ldif文件。
其它常用的选项还有:
-d  指定debug向日志文件输出信息，后面跟日志级别
-f  指定要读取的配置文件

6.3 启动服务进程

#/usr/local/openldap/libexec/slapd

6.4 建立要导入的具体信息记录的ldif文件

#vi users.ldif

dn: cn=Tom Black,ou=people,dc=mydomain,dc=org 定义人员1
cn: Tom Black
sn: Black
mail: tom@126.com
telephoneNumber: 371-6338-3522
objectClass: inetOrgPerson

dn: cn=Jerry Smith,ou=people,dc=mydomain,dc=org 定义人员2
cn: Jerry Smith
sn: Smith
mail: jerry@sina.com
telephoneNumber: 371-6338-3521
objectClass: inetOrgPerson

6.5 导入ldif文件

# /usr/local/openldap/bin/ldapadd -D "cn=Manager,dc=mydomain,dc=org" -W -x  -f users.ldif
Enter LDAP Password:
adding new entry "cn=Tom Black,ou=people,dc=mydomain,dc=org"

adding new entry "cn=Jerry Smith,ou=people,dc=mydomain,dc=org"

命令中:
-D选项表示指定绑定到LDAP的DN；
-W表示提示用户输入密码；
-x表示使用简单身份验正方式，默认的是使用sasl进行验正；
-f用来指定ldif文件;

七、配置文件中的高级功能使用方法

1. 开启日志功能

启用日志功能，需要在编译时指定--enable-debug 选项，默认是允许的。要打开slapd的日志功能，需要在slapd.conf中的全局配置段添加loglevel指令，并后跟一个十进制数字表示的日志级别，如下所示：

# Added logging parameters
loglevel    256

其日志级别如下所示：

-1 记录所有的信息
0 不记录debug
1 跟踪功能调用的信息
2 包处理的debug信息
4 丰富的debug信息
8 连接管理信息
16 包的收发信息
32 搜索过滤的处理过程
64 配置文件的处理过程
128 访问控制列表处理过程
256 连接、操作及其结果的统计数据
512 向客户端返回的结果的统计信息
1024 与shell后端的通信信息
2048 显示记录条目的分析信息
4096 数据库缓存处理信息
8192 数据库索引
16384 从服务器数据同步资源消耗处理信息

若要记录所有的debug日志，可以使用LOG_LEVEL4 syslogd系统日志来记录，这需要在slapd.conf中添加如下语句实现：

local4.debug /var/log/slapd.log

2. 为BDB后端数据库实例指定在内存中的缓存空间大小

在如下句子后
DBDirectory: /usr/local/openldap/var/openldap-data
后添加：
DBCachesize: 2000

3. 访问控制列表:

3.1 语法

access to [by ]+

其中,access to指示启用访问控制，上句大致可以理解为:
access to <对什么目标进行控制>[by <作用于哪些访问者> <授予什么样的访问权限><采取什么样的匹配控制动作>]+

3.2 剖析

3.2.1 控制目标

这一域主要是实现对ACL应用对象的指定，对象可以是记录和属性。选择ACL目标记录的方法一般有两种：DN和filter,语法为：

::= * |
            [dn[.]= | dn.=]
            [filter=] [attrs=]
3.2.1.1 指定所有的记录

access to *

3.2.1.2 通过DN指定

语法如下：

to dn[.]=

::= regex | exact

to dn.=

::= base | one | subtree | children

第一种方法是使用正则表达式(dn.regex)或精确匹配(dn.style)的方式来匹配符合条件的记录（这个好像不像想象的那么简单，实现起来颇为费脑筋），例如：

access to dn="^.*,uid=([^,]+),ou=users,(.*)$"

第二种方法通过“区域”选择的方法进行目标记录的选取，对以指定的DN开始的目录树区域进行目标记录匹配。匹配区域的方式共有四种：
base 只匹配DN本身一条记录
one 匹配以给定DN为父目录的所有记录
subtree 匹配以给定DN为根目录的所有子树内的记录
children 匹配给定DN下的所有记录，但应该不包括以DN直接命名的那条记录(参见例子的解释)

例如：对于

0: dc=mydomain,dc=org
1: cn=root,dc=mydomain,dc=org
2: ou=users,dc=mydomain,dc=org
3: uid=samba,ou=users,dc=mydomain,dc=org
4: cn=Administator,uid=samba,ou=users,dc=mydomain,dc=org
5: uid=guest,ou=users,dc=mydomain,dc=org

规则 dn.base="ou=users,dc=mydomain,dc=org" 只会匹配记录2
规则 dn.one="ou=users,dc=mydomain,dc=org" 匹配记录3和记录5，记录4是记录3的子目录，故不算在内
规则 dn.subtree="ou=users,dc=mydomain,dc=org" 匹配记录2、3、4、5
规则 dn.children="ou=users,dc=mydomain,dc=org" 匹配记录3、4、5,因为记录0、1和2都是以DN直接命名的，故不匹配

3.2.1.3 通过filter匹配记录

通过filter指定过滤规则进行记录过虑，语法如下：

access to filter=

其中filter指定的为search的过滤规则，这类同于linux系统中grep的匹配方式。如：

access to filter=(objectClass=sambaSamAccount)

也可以结合使用DN和filter进行记录的匹配，例如：

access to dn.subtree="ou=users,dc=mydomain,dc=org" filter=(objectClass=posixAccount)

3.2.1.4 通过attrs选取匹配记录

语法:
attrs=

例如：
access to attrs=uid,uidNumber,gidNumber

也可以结合使用DN和attrs进行记录的匹配，例如：
access to dn.subtree="ou=users,dc=mydomain,dc=org" attrs=uid

3.2.2 被用来授权的访问者的指定

指定被授权的用户范围的方法大致有以下几种：
* 所有的访问者，包括匿名的用户
anonymous 非认证的匿名用户
users 认证的用户
self 目标记录的用户自身
dn[.]= 在指定目录内匹配正则表达式的用户
dn.= 指定DN内的用户

例如：
by dn.subtree="ou=users,dc=domain,dc=org"="^samba*"

3.2.3 被授予的权限

当选取好ACL作用的目标记录并选取好用户范围后，就该给这些用户授予他们应该得到的权限了。大致的权限(由低到高)有以下几类：
none 无权限，即拒绝访问
auth 访问bind（认证）设置的权限；前提是需要用户提交一个DN形式的用户名并能通过认证
compare 比较属性的权限；（例如：对照查看某用户的telephoneNumber值是不是158 8888 8888）,但并不具有搜索的权限
search 利用过虑条件进行搜索的权限,但这并不一定具有可读取搜索结果的权限
read 读取搜索结果的权限
write 更改记录属性值的权限

可以在slapd.conf文件中通过defaultaccess指定默认的权限级别,如：
defaultaccess search

3.2.4 采取什么样的匹配控制动作

在进行记录的匹配时，如果有多条规则存在，那么在第一次匹配产生后是否还进行后续的匹配或采取其它的动作将取决于此项的设置；控制方式共有以下三种：

stop 这个是默认值，这表示在一次匹配产生后将不再进行下一个匹配，所有后续的匹配将会停止。
continue 无论匹配是否已经发生，继续进行直到所有的规则全部进行完匹配检查
break 一个匹配发生后，跳出当前的子句进行后一个子句的检查

3.2.5 一个例子

access to dn.chilren="ou=users,dc=mydomain,dc=org"
attrs=userPassword  #指定“密码”属性
by self write    #用户自己可更改
by * auth          #所有访问者需要通过认证
by dn.children="ou=admins,dc=mydomain,dc=org" write  #管理员组的用户可更改

待续……

junky 2007-06-06 14:43 发表评论

[LDAP][翻译]OpenLDAP管理员指南(仅前七章) (转)

junky — Wed, 06 Jun 2007 05:04:00 GMT

摘要: 序言版权 Copyright 1998-2002, The OpenLDAP Foundation, All Rights Reserved. Copyright 1992-1996, Regents of the University of Michigan, All Rights Reserved 本文档是OpenLDAP项目的一部分。它遵从在OpenLDAP Software Copyri... 阅读全文

junky 2007-06-06 13:04 发表评论

运行OpenLdap(转)

junky — Wed, 06 Jun 2007 05:02:00 GMT

1、安装OpenLdap

比如装在d:\openldap

2、了解ldap http://www.linuxaid.com.cn/engineer/brimmer/html/LDAP.htm

3、修改slap.conf

假设域名为：netone.com

大概在56行

#######################################################################

# BDB database definitions只要更改下面两个地方就可以了,注意suffix和rootdn的dc要相同

#######################################################################

database bdb

#新的值

suffix "dc=netone,dc=com"

#原来的值

#suffix "dc=my-domain,dc=com"

#新的值

rootdn "cn=Manager,dc=netone,dc=com"

#原来的值

#rootdn "cn=Manager,dc=my-domain,dc=com"

4、写domain.ldif

dn:dc=netone,dc=com

objectclass:dcObject

objectclass:organization

o:companyinfo

dc:netone

保存在安装的目录下,即 d:\openldap

5、运行

命令行到达 d:\openldap

然后输入命令（增加配置）：slapadd -f slapd.conf -l domain.ldif

接着输入命令（启动ldap服务）：slapd -d 1

如果最后几行有 starting 就说明运行成功。

6、查看

可以通过jxplorer（下载地址：http://pegacat.com/jxplorer/）来查看目录结构。

运行jxplorer,点击左上角的（类似连接）图标，配置ldap的连接参数

第一二行可以不改。

Base DN:输入我们的域名：dc=netone.com

Level为匿名

按钮 OK，如果能连接成功，那么恭喜你。

另外也可以用 LDAP Browser/Editor (下载l ) 来查看，

解压后运行：lbe.bat

然后连接ldap服务器(刚运行时有quickConnect,或File->connect)

填写参数：Host:localhost

Port:386

Version:3

BaseDN:dc=netone,dc=com

最后按按钮啦。成功！

本文是参照：

http://www.cjsdn.net/post/view?bid=11&id=90353&sty=3&age=0&tpg=1&ppg=1#90353

http://www.cjsdn.net/post/view?bid=11&id=90367&sty=3&age=0&tpg=1&ppg=1#90367

http://www.ldapchina.com

junky 2007-06-06 13:02 发表评论

学习LDAP的过程(转)

junky — Wed, 06 Jun 2007 05:01:00 GMT

写这篇文章，是因为，最近学习了LDAP的相关知识，因为整个学习过程都与网络有关，大量的文献资料都是从网上下载下来的。现将，我学习LDAP的过程简要列出来，目的是想为那些还没有接触和掌握LDAP的人来说，能够节约大量的时间和精力。

1、 LDAP的英文的意思我是早就接触，只是了解，并不深入，所以，这次想多了解一些，于是从网上下载了大量的资料，从理论上了解LDAP是怎么回事，如什么是LDAP？什么是X.500？X.500与LDAP是什么关系？X.500与X.509？什么是DN等，大家在网上输入关键字LDAP可以搜索到很多的相关的资料。LDAP

2、光说不练不行，还得找一找软件，我所知道的，提供LDAP目录服务的软件有IBM domino，SUN 提供的软件，以及开源的OPENLDAP，而我手头没有安有LINUX操作系统的机器，所以，软件最好能在windows server 2003上运行。安装要简单，配置最好也要简单。于是，我从网上下载了openldap for win32的安装包。

3、安装过程很顺利，安装好后，用netstat –an 查看，LDAP服务的389端口处于正常的侦听状态，说明服务正常启动了。

4、根据下载的文档，修改slapd.conf配置文件，将MY-DOMAIN改为自已设定的名称，如ydzy。样例文件如下：

database bdb

suffix "dc=ydzy,dc=com"

rootdn "cn=Manager,dc=ydzy,dc=com"

# Cleartext passwords, especially for the rootdn, should

# be avoid. See slappasswd(8) and slapd.conf(5) for details.

# Use of strong authentication encouraged.

rootpw secret

# The database directory MUST exist prior to running slapd AND

# should only be accessible by the slapd and slap tools.

# Mode 700 recommended.

directory ./data

# Indices to maintain

index objectClass eq

5、然后，按照OPENLDAP快速帮助的说明，自已制作了根DN的ydzy.ldif文件。

dn: dc=ydzy,dc=com

objectclass: dcObject

objectclass: organization

o: Example Company

dc: ydzy

dn= cn=Manager,dc=ydzy,dc=com

objectclass: organizationalRole

cn: Manager

这里要说明一下，由于本人下载的LDAP文档，绝大部分都是针对LINUX环境，提供的添加条目到LDAP目录服务器的命令是LINUX环境下的，所以，照抄时，总是不对。在WINDOWS命令行状态，要用双引号来括住一些信息。如上面的添加条目信息的命令为：

Ldapadd –x –D “cn=Manager,dc=ydzy,dc=com” –w secret –f ydzy.ldif

6、在设定了最基本的条目后，我试着从VB工程中，用LDAP的ACTIVEX控件来连接LDAP服务器，无论在connect函数中怎么设定，就是报协议错，为此，花费了我不少时间和精力，我是在VB6中，通过AXLDAP控件连接OPENLDAP服务器的。这当中，最大的问题，就是LDAP服务器的管理员用户名和口令是什么。尽管后来才知道，不是连接LDAP服务器的用户名与口令不正确，而是控件不支持我所安装的OPENLDAP服务器的版本所致。

7、尽管，OEPNLDAP提供了命令行的ldapsearhc工具，但对初学者来讲，仍然，不形象直观，于是，上网搜索，从http://www.ldapadministrator.com/下载了windows版的ldap客户端软件。这真是个好东西，下载下来，安装好后，进行简单的设置，那个OPENLDAP里面的内容就展现在我面前了。友情提醒一下，最好在下载OPENLDAP的时侯，就下载相应的客户端工具，这对于学习和理解LDAP的相关知识很有好处的，本人就是通过这款软件才迅速解决了许多问题。例如，前面所说的用户名/口令的问题，因在该软件中，要连接LDAP服务器，必须提供相应的用户名和口令，于是，我就试着填入相应的用户名和口令，终于明白，slapd.conf文件中的rootdn后面的一长串就是管理员的用户名，而rootpw后的明文secret就是管理员的密码，所以，象命令中的-D “cn=Manager,dc=ydzy,dc=com” –w secret 就是通常的用户名和口令的格式。

8、前面，我们刚学会添加根DN的方法，在实际应用中，需要添加各种各样的信息到LDAP中，而要添加信息，必须掌握写作LDIF文件的方法，具体的LDIF的格式要求，从下载的文档，大家可以看到。我根据一篇文档的介绍，将公司员工的邮件地址存入LDAP服务器，以便于在OUTLOOK等工具中可以查询。于是，我编写了以下格式的文件：

dn: cn=lxj,dc=ydzy,dc=com

objectclass: inetorgPerson

cn: lxj

cn: luoxiaojun

sn: luo

mail: lxj@192.1.3.211

dn: cn=lxr,dc=ydzy,dc=com

objectclass: inetorgPerson

cn: lxr

cn: lixinyue

sn: li

mail: lxr@192.1.3.211

就是向目录服务器，添加两个条目。

然后，就用ldapadd 命令向目录服务器加，始终报语法错误，这是怎么回事呢？左看右看，这时，我通过LDAP客户端软件，查看其中的模式，发现没有inetorgperson这个模式，于是我想到，是否，应在slapd.conf中将相关的模式文件包含进来，于是打开slapd.conf文件，发现，默认的配置文件中，只有一个core.schema包含了进来，而在openldap的安装文件夹下，可以看到schema文件夹，于是，将相应的inetorgperson模式文件添加到slapd.conf文件中。重启openldap服务器，再运行添加条目的命令，成功，通过LDAP客户端工具，可以看到，几条信息已经成功地添加到LDAP服务器中。

9、我在网上，也看到一些文章讲LDAP应用面变窄的问题，其实，我们通过PKI，通过LDAP，我们发现，国外，似乎在追求一种基础架构，即公共，标准，安全。LDAP中能存储的在关系统数据库基本上都可以存储，但关系数据库无法做到作为一种公共设施，轻便，便于实施，所以，从追求标准化来看，LDAP将来将是信息基础构件，就象家里用的灯泡一样，而不是应用越来越窄，相反，会得到很广的应用。比如，微软的activedirectory活动目录，不就是一个例证吗？

10、通过X.500或LDAP的条目DN可以和X.509数字证书绑定在一起，便于用户的查询。这种应用是较好的一种组合。

11、服务器提供了主从服务器的复制功能，确保了LDAP的稳定性和可靠性，实现起来也很容易。LDAP

junky 2007-06-06 13:01 发表评论

openldap for win32 安装程序制作分析相关参考资料与研究(转)

junky — Wed, 06 Jun 2007 04:58:00 GMT

openldap for win32

(http://lucas.bergmans.us/hacks/openldap/)这是主要来源资料文档。

Download

Binary Distributions

http://download.bergmans.us/openldap/

Developer Documentation/Patches

http://download.bergmans.us/openldap/devel/（老外的编译开发资源包）

http://www.jrsoftware.org/（安装程序Inno Setup下载地址）

http://www.sleepycat.com/（openldap使用的Berkeley DB）

Please note that if you have a server in production using aSleepycat/Berkeley DB backend (which is the default), then you willnot want to cut over to an OpenLDAP build that uses a different BDBversion until you have thoroughly tested the change.  If you havea build from me that doesn't specify a bdb version in the filename,then the version used was 4.2.52.Also, there has been talk on openldap-software that bdb-4.3 stillhas some non-trivial bugs, so proceed at your own risk.  -- Lucas Bergman      2004-12-10

Getting Started

I'm working on installation documentation at the same time as a better release. In the meantime, there is some documentation on getting my current port working under Windows in French and English (endless thanks to Mickaël Guessant).

FAQ

Where can I download the OpenLDAP software for Windows?

Use the “download” link on the left side of this page.
I've downloaded the software and installed it, and everything seems okay. Now what do I do?

Start with Mickaël Guessant's getting started documentation (in French and English), and then start learning something.
Will you help me use OpenLDAP with my mail client?

That, and other questions that have nothing to do with the running OpenLDAP on Windows in particular, should be directed to the official OpenLDAP forums. The answers you get will be better, and the time you save will be your own.
How can I build OpenLDAP for myself?

Right now, the scripts I use to build the software are stored in a subdirectory of the download site. However, I've moved things to CVS, so be prepared to deal with that.
I see your build uses the MinGW build of the GNU toolchain. How can I build with the Microsoft toolchain (e.g., Microsoft Visual C++ .NET 2008 Enterprise .COM Visual .ORG Special Edition Service Pack 9)?

I don't care. I have no interest in using proprietary tools when free ones will produce the exact same result.

But it's for my job! My company has a policy that we use only Microsoft tools! My boss won't let me use your hippie compiler.

Since it's for your job, I'm sure your company won't mind paying me a consulting fee to get the thing working with the proprietary toolchain of your choice.
Do you have the SQL backend? I'd like to have OpenLDAP use an RDBMS as a storage medium.

We don't yet, since it was only relatively recently that we've gotten modern versions of the server working in an easily installed package. This is a common request, and I swear we're working on it.
If my question isn't here, can I email you?

Talk to the list.

上面主要是第六条需要注意一下数据库的使用问题。

http://www.mingw.org/（这个暂时不清楚是做什么用的）

http://www.gnu.org/home.cn.html（开源自由软件协议公约）

下面是一位兄弟自己编译的windows版本过程。

Windhue’s homepage

OpenLDAP for win32 编译过程举例

环境: WinXP Pro sp2; Visual C++ 6。

目标：编译 openldap 的 debug 版本。

1. Berkeley DB

- 得到 db-4.1.24.tar.gz。可在网上google一下，例如，目前点击这里可以下载。

更新版本的，应该也没有问题，但是我没有测试。

- 解压到某个文件夹。例如 F:\db-4.1.24。

- 阅读 F:/db-4.1.24/docs/ref/build_win/intro.html

- F:\db-4.1.24\build_win32\Berkeley_DB.dsw ，用VC打开它。

- 将“build all - Win32 Debug”设置为活动工程。

- rebuild all

生成的文件位于 F:\db-4.1.24\build_win32\Debug和

F:\db-4.1.24\build_win32\Debug_Static。我需要的是前者。

- libdb41d.lib拷贝到VC的lib目录。

- libdb41d.dll拷贝到系统目录。

- copy db.h to {VC's include path}

2. Cyrus SASL

- 解压 cyrus-sasl-2.1.15.rar 到 F:\cyrus-sasl-2.1.15

- 阅读 file:///F:/cyrus-sasl-2.1.15/doc/windows.html

- cd F:\cyrus-sasl-2.1.15\lib

- {VC's path}\VC98\Bin\vcvars32.bat

nmake /f NTMakefile CFG=Debug

- libsasl.lib 拷贝到 VC 的 lib 目录。

libsasl.dll 拷贝到系统目录。

- copy sasl.h {VC's include path}\sasl.h

copy prop.h {VC's include path}\prop.h

copy saslplug.h {VC's include path}\sasl\saslplug.h

copy md5global.h {VC's include path}\sasl\md5global.h

copy md5.h {VC's include path}\sasl\md5.h

copy hmac-md5.h {VC's include path}\hmac-md5.h

3. hs_regex

- 下载 hs_regex.exe 自解压文件。

把文件拷贝到相应的目录。hs_regex.dll regex.h hs_regex.lib

4．openssl

- 我用的是openssl-0.9.7b。在windows下的编译过程不赘述。参考http://www.openssl.org/ http://openssl.cn/ 。

5. openldap

- 解压 openldap-*.*.**.rar。点击这里下载。

- 打开build/main.dsw

- 将“build - Win32 Debug”设置为活动工程。看一下 readme.txt。

- build“build - Win32 Debug”。

- 将slapd设置为活动工程。运行 slapd 。参考 slapd 项目下的 readme.txt。

- ldapadd之后，可能重启一下slapd才能看到变化。

6. LDAP Browser/Editor

一个java的ldap客户端浏览器。点击这里下载。

注意： slurpd由于包含一些linux的符号，还没移植到win32。主要是一些与文件操作相关的函数和宏定义。移植应该不会十分困难。至于openldap在win32平台上的性能问题，这里不做讨论。

windhue@sina.com

2004-11-23

/* END */

junky 2007-06-06 12:58 发表评论

有关LDAP协议的整理(转)

junky — Mon, 04 Jun 2007 01:36:00 GMT

LDAP的英文全称是Lightweight Directory Access Protocol,即轻量级目录访问协议.我们知道,人们对计算机网络的使用和管理涉及了各种庞杂的资源,信息.为了提高性能,便于使用,有效管理分布式应用的服务,资源,用户及别的对象信息,这些信息需要清晰,一致地组织起来.基于这样的需求,描述各种用户,应用,文件,打印机和其它可从网络访问的资源的信息被集中到一个特殊的数据库中,这种数据库被称为目录.目录存放对象的公开或非公开的信息,这些信息以某种顺序组织,描述了每个对象的细节.电话簿,图书馆藏书卡片目录就是常见的目录. LDAP是基于X.500标准的,访问 X.500 目录需要某种协议,例如:目录访问协议 (DAP).然而,DAP 需要大量的系统资源和支持机制来处理复杂的协议.LDAP 仅通过使用原始 X.500目录存取协议 (DAP) 的功能子集而减少了所需的系统资源消耗,而且可以根据需要定制.此外,与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的. 为了能对LDAP协议进行更好的理解,我们需要对以下概念有初步的认识:目录:Directory,存放对象的信息,这些信息以某种顺序组织,详细描述每个对象.目录信息树:DIT,Directory Information Tree,目录条目的集合构成了目录信息树.条目:Entry,目录信息树中的一个结点,是一个对象信息的集合,是目录信息中最基本的单位,包含该对象的一系列属性.属性:Attribute,属性描述对象的特征.一个属性由属性类型(type)和一个或多个属性值(values)构成.相对标识名:RDN,Relative Distinguished Name,条目的名字.唯一标识名:DN,Distinguished Name,在一个目录信息树中唯一标识一个条目的名字. LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、 jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访问协议—LDAP。

LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录；条目是具有区别名DN（Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于关系数据库表中的关键字（Primary Key）。属性由类型（Type）和一个或多个值（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置和组织关系进行组织，非常的直观。LDAP把数据存放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。类型的一个例子就是mail，其值将是一个电子邮件地址。

WebLogic的内置的LDAP Server支持IETF LDAP为LDAPv3制定的控制访问模型。下面这个片断将讲述在内置的LDAP Server中怎样实现控制访问。可以通过编辑访问控制文件来将这些规则直接应用到目录的入口。WebLogic中的访问控制文件是acls.prop。在Server的lib中可以找到这个文件。这个文件的所有访问控制规则都被注释掉了，如果想更改这些规则，你要手工更改这个文件。注意：WebLogic Server内置的LDAP Server在默认的情况下只允许Admin帐号访问，WebLogic Server的security providers只使用Admin帐号访问内置的LDAP Server。如果你不想使用外部的LDAP Brower访问WebLogic Server的内置的LDAP Server，或者你只想使用Admin帐号访问内置的LDAP Server，你不需要编辑acls.prop文件，访问控制文件（The Access Control File）

访问控制文件（acls.prop）包含内置的LDAP Server的整个目录的完整的访问控制列表（ACL）。这个文件中的每一行都包含一个访问控制规则。一个访问控制规则由下面接个部分组成：访问控制位置(Access Control Location) 每个访问控制规则都应用于LDAP目录中的一个给定的位置。这个位置通常是一个区别命名（DN），但有一个例外，这就是[root]，如果访问控制规则应用到整个目录，则只需要指定位置为[root]就可以了！如果被访问或更改的入口的位置与访问控制规则指定的位置不相等，或在访问控制规则指定的位置的下级，则这个访问控制规则将不会被执行。

访问控制范围（Access Control Scope）访问控制范围有2种： Entry-一个Entry范围的访问控制列表只在下面的情况下被执行： LDAP目录的入口的DN与访问控制规则指定的位置相同。这样的规则对于包含了比并行和副入口更敏感信息的单独入口非常有用。 Subtree-意味着访问控制规则指定的位置及子树都可以适用这条规则。如果Entry与Subtree在访问控制规则中有冲突，则Entry要优先于Subtree。

访问权限（Access Rights）访问权限应用于整个对象或对象的属性，有2个值：grant（准许）或deny（拒绝）。访问权限指定了LDAP操作的类型。许可(grant或deny)

应用规则的属性(attribute)

允许或拒绝访问的主题(subject) 在weblogic可以编写程序来访问LDAP.上手时可以选择JXplorer工具。 1.LDAP Server及LDAP Browser：对于WLS LDAP为理解起来简单，去掉限制的方法是修改bea\weblogic81\server\lib\acls.prop文件后。修改方法：在该文件最后添加以下几行。[root]|entry#grant:s,r,o,w,c,m#[all]#public[root]|subtree#grant:s,r,o,w,c,m#[all]#public:[root]|subtree#grant:a,d,e,i,n,b,t#[entry]#public:cn=schema|entry#grant:s,r,o,w,c,m#[all]#public:cn=schema|entry#grant:a,d,e,i,n,b,t#[entry]#public:注意，该文件中这些行之间，以及其他行之间不能有空行，否则启动WLS会报错的。修改好之后就可以启动WLS了，启动后进入Console里修改Ldap Server的密码。密码修改完后需要再重新启动一次WLS。

LDAP刚上手的时候没有方便的工具会很费劲。我看了CSDN上“兔八哥”的文章，用JXplorer，感觉很不错。想看这篇文章，到CSDN上搜一下“兔八哥”，系列中No.12就是关于JXplorer的配置和使用。我的连接参数如下：Host:localhost//根据实际修改Port:7001Protocol:LDAP v3Base DN:dc=ldapdomain//根据实际修改Level:User PasswordUser DN:cn=AdminPassword:weblogic//根据实际修改.编程操作LDAP Server。下面四个JAVA方法，分别用于初始化，查询，添加，删除，修改，关闭连接。记得每次都需要先大概连接，操作，然后关闭连接。和使用数据库差不多。首先是需要用到的头文件：import java.util.Hashtable;import java.util.Enumeration;import javax.naming.Context;import javax.naming.NamingException;import javax.naming.directory.DirContext;import javax.naming.directory.InitialDirContext;import javax.naming.directory.SearchControls ;import javax.naming.NamingEnumeration;import javax.naming.directory.SearchResult;import javax.naming.directory.Attributes ;import javax.naming.directory.Attribute;import javax.naming.directory.BasicAttributes;import javax.naming.directory.BasicAttribute;import javax.naming.directory.ModificationItem;import java.lang.reflect.Method;import java.io.BufferedReader;import java.io.InputStreamReader;

然后是一个类域，用于保存上下文： DirContext ctx = null; 然后是初始化： public void init(){ String account="Admin";//操作LDAP的帐户。默认就是Admin。 String password="weblogic";//帐户Admin的密码。 String root="dc=ldapdomain"; //所操作的WLS域。也就是LDAP的根节点的DC Hashtable env = new Hashtable(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");//必须这样写，无论用什么LDAP服务器。 env.put(Context.PROVIDER_URL, "ldap://localhost:7001/" root);//LDAP服务器的地址:端口。对WLS端口就是7001 env.put(Context.SECURITY_AUTHENTICATION, "none");//授权界别，可以有三种授权级别，但是如果设为另外两种都无法登录，我也不知道为啥，但是只能设成这个值"none"。 env.put(Context.SECURITY_PRINCIPAL, "cn=" account "," root);//载入登陆帐户和登录密码 env.put(Context.SECURITY_CREDENTIALS, password); try{ ctx = new InitialDirContext(env);//初始化上下文 System.out.println("认证成功");//这里可以改成异常抛出。 }catch(javax.naming.AuthenticationException e){ System.out.println("认证失败"); }catch(Exception e){ System.out.println("认证出错：" e); } }

查询操作： public void search(){//我只能按照某些属性查找节点，偶还不会怎么查找一个目录或按照更复杂的正则式查找特定节点／目录 try{ SearchControls constraints = new SearchControls(); constraints.setSearchScope(SearchControls.SUBTREE_SCOPE); System.out.print("what would you want to search:"); BufferedReader bd=new BufferedReader(new InputStreamReader(System.in)); String s=bd.readLine(); NamingEnumeration en = ctx.search("", "uid=" s, constraints); //要查询的UID。如果是*则可以查到所有UID的节点 if(en == null){ System.out.println("Have no NamingEnumeration."); } if(!en.hasMoreElements()){ System.out.println("Have no element."); } while (en != null && en.hasMoreElements()){//可以查出多个元素 Object obj = en.nextElement(); if(obj instanceof SearchResult){ SearchResult si = (SearchResult) obj; System.out.println("\tname: " si.getName()); Attributes attrs = si.getAttributes(); if (attrs == null){ System.out.println("\tNo attributes"); }else{ for (NamingEnumeration ae = attrs.getAll(); ae.hasMoreElements();){//获得该节点的所有属性 Attribute attr = (Attribute) ae.next();//下一属性 String attrId = attr.getID();//获得该属性的属性名 for (Enumeration vals = attr.getAll();vals.hasMoreElements();){//获得一个属性中的所有属性值 System.out.print("\t\t" attrId ": "); Object o = vals.nextElement();//下一属性值 if(o instanceof byte[]) System.out.println(new String((byte[])o)); else System.out.println(o); } } } } else{ System.out.println(obj); } System.out.println(); } }catch(Exception e){ System.out.println("Exception in search():" e); } } 添加操作： public void add(){ try{ String newUserName = "stella"; BasicAttributes attrs = new BasicAttributes(); BasicAttribute objclassSet = new BasicAttribute("objectclass"); objclassSet.add("person"); objclassSet.add("top"); objclassSet.add("organizationalPerson");

objclassSet.add("inetOrgPerson"); objclassSet.add("wlsUser"); attrs.put(objclassSet); attrs.put("sn", newUserName); attrs.put("uid", newUserName); attrs.put("cn", newUserName); ctx.createSubcontext("uid=" newUserName ",ou=people,ou=myrealm", attrs); //添加一个节点，我还不会添加目录 }catch(Exception e){ System.out.println("Exception in add():" e); } }

修改操作： public void edit(){ try{ String account = "stella";//修改以前旧的值 String sn = "stella sn";//修改以后新的值 ModificationItem modificationItem[] = new ModificationItem[1]; modificationItem[0] = new ModificationItem( DirContext.REPLACE_ATTRIBUTE, new BasicAttribute("sn", sn));//所修改的属性 ctx.modifyAttributes("uid=" account, modificationItem); //执行修改操作 }catch(Exception e){ System.out.println("Exception in edit():" e); } }

删除节点操作： public void delete(){ try{ String uid = "stella"; ctx.destroySubcontext("uid=" uid); //按照UID删除某个节点。我还不会删除一个目录。 }catch(Exception e){ System.out.println("Exception in edit():" e); } }

关闭连接： public void close(){ if(ctx != null) { try { ctx.close(); } catch (NamingException e) { System.out.println("NamingException in close():" e); } } }我对LDAP的理解：它是用于对资源的管理和服务的访问协议，在Weblogic平台上的JNDI（包含EJB和DataSource)都是提供它来提供的。正是JNDI的服务和RMI结合就形成J2EE平台上分布式的应用，因此说到底层，还是LDAP协议的支持。

部分资料参考：http://www.blogjava.net/kapok/archive/2005/05/05/4034.html

http://www.blogdriver.com/goblinize/250559.html

junky 2007-06-04 09:36 发表评论