下载文档原格式
openldap基本概念
OpenLDAP是一个开源的轻量级目录访问协议(LDAP)实现,它提供了一种简单的方式来管理和访问目录数据。
下面是OpenLDAP的一些基本概念:
1. 目录(Directory):目录是OpenLDAP用来组织和存储数
据的地方。
它按照树状结构组织数据,每个节点都有一个唯一的标识符(称为DN),节点可以包含属性和属性值。
2. 条目(Entry):条目是目录中的一个单元,它包含一个唯
一的DN标识符和一组属性和属性值。
一个条目可以代表一个
用户、组织、设备等。
3. 属性(Attribute):属性定义了条目的特征和属性值的类型。
它可以是单值的(只有一个属性值)或多值的(有多个属性值)。
4. 属性值(Attribute Value):属性值是属性的具体内容,可
以是字符串、整数、日期等。
一个属性可以有多个属性值。
5. 搜索(Search):搜索是使用LDAP来查找和检索目录数据
的一种方式。
通过指定搜索条件,LDAP可以返回满足条件的
条目。
6. 绑定(Bind):绑定是认证到LDAP服务器的过程,客户
端使用用户名和密码与服务器进行绑定,以便进行后续的操作。
7. 模式(Schema):模式定义了目录中可以存储的对象类型、属性和属性值的规范。
它包含了对象类和属性类型的定义,用于验证和规范目录数据。
这些基本概念可以帮助理解和使用OpenLDAP来管理和访问
目录数据。
分布式LDAP及其在电力系统PKI中的应用【摘要】在现阶段的社会发展中,电力系统得到了空前的发展,可以说居民的生活与工作,任何一个方面都离不开电力系统的支持,其中,分布式LDAP 及其在电力系统PKI中的应用成为了现阶段研究的主题,主要原因在于,分布式LDAP及其在电力系统PKI中的应用能够对居民的生活和工作产生较大的积极影响,而且对于电力系统本身而言,也是重要的模块之一,良好的应用分布式LDAP能够推动电力系统的发展。
【关键词】LDAP;PKI;应用所谓的LDAP,指的就是访问信息服务开放标准协议的轻量级目录访问协议,而PKI就是公钥基础设施,这两个都是电力系统中的重要板块,对现阶段的电力系统能够起到非常重要的作用。
本文所讨论的分布式LDAP及其在电力系统PKI中的应用,在现阶段的研究中,已经取得了一定的成就,在一部分的应用中取得了良好的效果。
但由于范围较小,而且在某些方面还存在一定的问题,比方说如何大范围的应用,如何在一些电力紧张的地区进行应用,这都是目前分布式LDAP及其在电力系统PKI中的应用中的一些难题。
本文就分布式LDAP 及其在电力系统PKI中的应用进行一定的讨论。
1 LDAP目录服务简介LDAP目录服务是软件、硬件、策略以及管理的集合体,目录服务至少包括以下几个方面的内容:包含在目录中的信息;保存信息的软件服务端;访问信息的软件客户端;运行服务端、客户端软件的硬件;目录服务支撑系统,如操作系统、设备驱动等;连接客户端到服务端及各个服务端之间的网络基础设施;策略,如规定谁能访问、谁能更新、谁能存取等;维护和监视目录服务的软件.2 分布式LDAP在分布式LDAP系统中。
PKI/CA系统只与根LDAP系统发生关系.CA系统签发完证书或是证书废除列表后.只需将证书或是证书废除列表发布到根LDAP 上即可.其他LDAP系统可在任何时候挂接上去。
对于每个LDAP系统,只需和一个父LDAP系统相连。
本文由flydr贡献第9卷2期第2004 年4 月株洲师范高等专科学校学报J OU RNAL O F ZHU ZHOU T EACH ERS COLL E GEVol. 9 No . 2 Apr. 2004LDA P 的研究与在校园网统一身份认证中的应用陈,杨贯中莉①( 湖南大学软件学院,长沙410082)摘要: 简要介绍了LDAP 协议以及LDAP 的四种基本模型,阐述了统一身份认证的思想,并将LDAP 应用到校园网统一身份认证系统中.关键词:LDAP ; 统一身份认证; 目录服务中图分类号: TP312文献标识码:A文章编号:1009 - 1432 ( 2004) 02 - 0048 - 03( Software School , Hunan University , Changsha , Hunan 410082 , China) Abstract : The article briefly int roduces Lightweight Directory Access Protocol and it s four basic models and pus2network uniform identity aut hentication. expatiates on uniform identity aut hentication. It also discusses how to apply LDAP to t he system of cam2 Key words :LDAP ;uniform identity aut hentication ;directory serviceLDAP 的英文全称是Lightweight Directory Access Protocol , 即轻量级目录访问协议, 简称为LDAP.LDAP 技术发展得很快, 在企业系统范围内实现LDAP , 可使运行在几乎所有计算机平台上的任何应用程序从LDAP 目录中获取信息. LDAP 目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案. 基于LDAP 的校园网统一身份认证系统, 利用分布式的目录信息树结构,对用户身份信息和系统控制信息进行有效组织和管理,可提供高效、安全的目录访问.1LDAP 简介LDAP 是一个运行在TCP/ IP 上的目录访问协议,是基于X. 500 协议标准的, 但它比X. 500简单且可根据需要定制. 与X. 500 不同,LDAP 支持TCP/ IP 协议, 这对访问Internet 是必须的.LDAP 的核心规范在RFC 中都有定义. [ 1 ]LDAP 服务器是用来处理查询和更新LDAP目录的. 严格地说,LDAP 根本不是数据库而是用来访问存储在LDAP 目录中的信息的协议. LDAP 协议的第三个版本LDAP V3 不仅仅作为X. 500 的简化版出现, 同时提供了许多X. 500 所不具有的特性, 使LDAP 协议功能更完备, 更具有实用性. [ 2 ]2统一身份认证的思想统一身份认证的主要思想是由一个全校范围内唯一的认证服务系统接管应用各自的认证模块,各应用只需要遵循统一认证服务调用接口,即可实现用户身份的认证过程. 至于用户身份信息、密码的存储及在网络上传输的安全性, 由身份认证服务提供的安全认证协议来保证. LDAP 通过SSL/ TL S 认证机制来保护数据的完整性和私密3. 4 安全模型LDAP 的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同. [ 3 ] 一般有下述三种: ( 1) 无认证. 这种方法只在没有数据安全问题且不涉及访问控制权限的时候才能使用. ( 2 ) 基本认证. 当使用LDAP 的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名( DN ) 和口令来标识自己. 服务进程检查客户进程发送的分辨名( DN ) 和密码是否与目录中存储的分辨名( DN ) 和密码相匹配,如果匹配则认为通过了认证; (3) SASL 认证. 即LDAP 提供的在SSL 和TL S 安全通道基础上进行的身份认证, 包括数字证书的认证.性. 校园网中所有的用户数据在LDAP 服务器中被统一管理,所有的应用程序通过网络访问同一个用户数据库, 数据的管理和安全保证放在LDAP 服务器上进行统一的维护.3LDAP 四种基本模型LDAP 的体系结构由四种基本模型组成: 信息模型描述LDAP 的信息表示方式, 命名模型描述LDAP 的数据如何组织, 功能模型描述LDAP 的数据操作访问方式, 安全模型描述LDAP 的安全机制.3. 1 信息模型LDAP 信息模型定义能够在目录中存储的数4LDAP 在校园网统一身份认证中的应用为实现校园网用户身份的统一认证, 本系统开发选择OPENLDAP 软件, 它是一个开放源码的免费软件,其中包括一个跨平台的轻量级目录访问服务器SLAPD ( 8 ) , 它支持LDAP V3 协议, 还包括主从备份服务器和数据库管理工具等.据类型和基本的信息单位. 在LDAP 中信息以树状方式组织,基本数据单元是条目( ent ry) ———即关于对象的信息集合,而每个条目由属性构成,属性中存储属性值. 通常, 条目中的信息说明真实世界的对象,比如一个人、、部门服务器、打印机等等,它们与组织中的真实对象相符合.4. 1 LDAP 自定义模式模式( Schema ) 是一个按相似性原则进行分组的对象类的集合. 模式中定义了属性类型和对象类. 每个在统一身份认证信息库中有合法身份的人, 对应着LDAP 目录信息树中的一个节点. 节点的属性包括这个人的身份信息以及一些控制信息. 目录设计的目标就是决定如何将这些节点组织成一个结构合理的目录信息树.Person 的LDAP 对象类以及一组该对象类可用的RFC2758 文档中定义了一个名为InetOrg2493. 2 命名模型LDAP 中的命名模型, 即LDAP 中的条目定位方式. 在LDAP 中每个条目均有自己的DN (Distinguished Name , 标识名) 和RDN ( RelativeDistinguished Name ,相对标识名) . DN 是该条目在整个树中的唯一名称标识,RDN 是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是DN ,文件名就是RDN.3. 3 功能模型我们需要对目录树中的信息进行访问,LDAP 功能模型说明了能够使用LDAP 协议对目属性. 这些属性都是目录服务中经常要用到的信InetOrgPerson 对象类中已有的属性所能表示的录执行某些操作. 在LDAP 中共有四类操作( 共10 种) : ( 1) 查询类操作,如搜索、比较;( 2) 更新类操作,如添加条目、删除条目、修改息. 针对校园网统一身份认证系统的实际应用, 信息很难直接用标准模式中定义的属性来表示.因此系统中需引入自定义模式, 因为它能够恰当地描述系统的需求,并具有很好的可扩展性. 自定义模式的方法是在配置文件slapd. conf 的全局定入新的模式文件newschema. schema. 义部分加入:include ~/ newschema. schema , 即引条目、修改条目名; ( 3) 认证类操作,如绑定、解绑定;( 4) 其它操作,如放弃和扩展操作.除扩展操作,另外9 种是LDAP 标准操作.4. 2 系统结构设计统一身份认证系统的设计和实现需要涉及身份认证、访问控制、加密、通信以及数据库等多项[2 ] 技术. 具体分析了校园网应用的情况后, 笔者认为下面的结构可以建立校园网的统一身份认证系统见图1.个到若干个LDAP 从目录服务器, 以本地化地响应各种应用对LDAP 的操作, 从目录服务器的数据由主目录服务器自动复制而来. 使用统一身份认证服务, 把通常由多个管理员在许多应用之间进行的管理工作整合到一个管理控制台之中, 形成了一个集成化高、灵活性强、又较为安全的环境. 统一身份认证服务使各种应用能够使用所有受支持的身份认证方法; 提供单点进行所有身份认证尝试, 单点登录方法允许用户仅需登录一次即可访问其经过授权的多种应用,并可检测到并阻止暴力攻击,从而可以提高整体安全性和用户的工作效率.5结语目前,LDAP 已应用在北京大学、大连理工大图1基于LDAP 的统一身份认证系统校园的软件和应用系统是基于Web , 需灵活的体系结构,校园网络应用系统采用三层体系结构. 物理结构采用分布式实施模式,但逻辑上采用统一用户管理. [ 4 ] 网络应用系统整体分为三个层次,分别为: ( 1) 表现层: 门户服务将为校园网系统建立会员制,使能基于角色进行访问控制; ( 2 ) 应用层: 是关键性业务应用服务器, 它是校园网关键性应用逻辑的“容器”; (3) 数据层: 包括数据库服务器、LDAP 目录服务器、份识别服务器、子证书服务器. 身电LDAP 目录服务器和身份识别服务器将提供统一学、清华大学以及上海交大等高校的校园网络用户管理系统中,将LDAP 目录服务的特点引入到校园网统一身份认证中, 便于用户登录校园网络系统,及管理员维护系统. 随着校园网的各种应用不断涌现和进一步发展, 基于LDAP 的校园网统一身份认证系统会有很好的发展前景, 是未来实现数字化校园的基础.参考文献:[ 1 ] M. Wahl , T. Howes ,S. Kille. Lightweight Directory Ac2 cess Protocol ( V3 ) [ S ] . IETF RFC 2251. Network Working Group . 1997. [ 2 ] Michael Donnelly. An Introduction to LDAP[ EB/ OL ] . - 04 - 28. [ 3 ] 宋志强,陈怀楚,沈锡臣. 校园网统一身份认证结构及用户管理. 电子证书管理是基于LDAP 目录服务器和X. 509 标准颁发、管理和恢复用户的电子证书. 在统一身份认证方面, 采用基于LDAP 的目录管理是目前Internet 应用身份认证事实上的标准. 本系统中,在数据层配置LDAP 服务器作为主目录服务器,用于用户数据的统一管理和更新. 为进一步提高系统的效率,在应用层的主机上,配置一基于此结构的应用漫游的实现[J ] , 计算机工程与应用,2002.[4 ] 张慧宇,等. LDAP 研究及其在CA 中的应用, 计算机应用研究[J ] ,2002 , ( 10) .50http :/ / dapman. org/ rticles/ intro2to2ldap . ht ’ ml. 2000( 责任编辑: 易华容英文编校: 文爱军)。
ldapsearch命令例子-概述说明以及解释1.引言1.1 概述概述LDAP(Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录信息服务的协议。
在日常的系统管理和网络管理工作中,经常需要查询和管理LDAP目录中的信息。
而ldapsearch命令就是一个用于在LDAP目录中搜索和获取信息的命令行工具。
通过ldapsearch命令,用户可以指定搜索条件来查询LDAP目录中符合条件的信息,比如用户信息、组织结构、权限等。
ldapsearch命令的灵活性和强大功能使其成为管理LDAP目录的重要工具之一。
本文将介绍ldapsearch命令的语法和示例,并探讨其在系统管理和网络管理中的重要性和应用场景,以及展望ldapsearch命令的未来发展。
1.2 文章结构文章结构部分的内容可以包括以下内容:1. 简介:介绍本文将要讨论的主题,即ldapsearch命令的使用和示例。
2. 目录:列出文章的结构和内容,方便读者快速了解全文的组织和内容。
3. 正文:详细介绍ldapsearch命令的概念、语法和示例,让读者能够理解和掌握这个命令的用法。
4. 结论:总结本文的主要观点和结论,强调ldapsearch命令在实际应用中的重要性和价值。
5. 展望:探讨ldapsearch命令未来的发展方向和可能的应用场景,让读者对这个命令在未来的发展有更深入的了解。
1.3 目的本文的主要目的是介绍ldapsearch命令的基本用法和实际应用示例。
通过对ldapsearch命令的介绍和示例分析,读者将能够了解LDAP(轻型目录访问协议)搜索工具的使用方法,并且掌握如何利用ldapsearch 命令来查询和检索LDAP目录中的信息。
同时,本文也旨在帮助读者更好地理解ldapsearch命令的重要性和在何种情况下可以有效地应用该命令。
最终,本文还将展望ldapsearch命令在未来的发展趋势,为读者提供更深入的了解和思考。
hiveserver2和ldap认证机制HiveServer2和LDAP认证机制引言:在现代大数据生态系统中,Hadoop生态系统是一个重要的组成部分。
Hadoop生态系统包括多个关键组件,比如HDFS、MapReduce、Hive等。
Hive是一个常用的数据仓库工具,用于处理大规模数据集。
Hive的核心是HiveServer2,它允许用户通过各种方式访问Hive。
本文将探讨HiveServer2和LDAP认证机制。
1. HiveServer2概述HiveServer2是Apache Hive的一个重要组件,用于提供对Hive的远程访问。
HiveServer2允许多个客户端同时连接,并提供了对Hive数据库和数据仓库的全面访问。
HiveServer2是一个多用户服务,可以通过各种方式进行身份认证,包括Kerberos和LDAP。
2. LDAP认证机制的概念LDAP(轻量目录访问协议)是一种用于访问分布式目录服务的协议。
它允许用户在网络上查找和跟踪信息资源。
在Hadoop生态系统中,LDAP通常被用作用户身份认证和授权的一种方式。
LDAP认证机制基于一个集中化的目录服务,用于存储用户、组织和权限等信息。
用户可以使用LDAP凭据进行身份验证,并在Hadoop组件中访问受保护的资源。
3. HiveServer2中的LDAP认证配置要启用HiveServer2中的LDAP认证,需要进行以下配置步骤:第一步:安装和配置LDAP服务器。
LDAP服务器将用户和组织信息存储在目录中,并提供用户身份认证和授权。
第二步:在Hive配置文件中启用LDAP认证。
可以通过设置以下属性来启用LDAP 认证:hive.server2.authentication = LDAP此属性指示HiveServer2使用LDAP进行身份验证。
hive.server2.authentication.ldap.url = ldap:ldapserverhost:389此属性指示HiveServer2连接到LDAP服务器的URL。
ldapadmin使用手册一、简介ldapadmin是一款功能强大的LDAP(轻量目录访问协议)管理工具,它提供了用户友好的界面,用于管理和维护LDAP服务器上的目录。
本手册将向您介绍如何使用ldapadmin进行LDAP目录的管理。
二、安装和配置2.1 下载和安装ldapadmin1.打开ldapadmin的官方网站。
2.在下载页面选择适用于您操作系统的版本,然后单击下载按钮。
3.下载完成后,按照安装向导进行安装。
2.2 配置ldap服务器连接在首次启动ldapadmin之后,您需要配置与LDAP服务器的连接。
按照以下步骤进行配置: 1. 打开ldapadmin并选择“文件”>“设置”。
2. 在设置窗口中,选择“连接”选项卡。
3. 点击“添加”按钮,输入连接名称和LDAP服务器的主机名和端口号。
4. 输入管理员用户名和密码,并验证连接是否成功。
5. 单击“确定”保存配置。
三、目录管理3.1 创建目录项您可以使用ldapadmin创建新的目录项。
按照以下步骤进行操作: 1. 在ldapadmin的主界面上选择您要在其中创建目录项的上级目录。
2. 单击工具栏上的“新建目录项”按钮。
3. 在弹出的对话框中,输入新目录项的属性和值。
4. 单击“确定”按钮创建目录项。
3.2 编辑目录项您可以通过ldapadmin编辑目录项的属性和值。
按照以下步骤进行操作: 1. 在ldapadmin的主界面上选择要编辑的目录项。
2. 单击工具栏上的“编辑目录项”按钮。
3. 在弹出的对话框中,可以修改目录项的属性和值。
4. 单击“确定”按钮保存更改。
3.3 删除目录项如果您需要删除一个目录项,可以按照以下步骤进行操作: 1. 在ldapadmin的主界面上选择要删除的目录项。
2. 单击工具栏上的“删除目录项”按钮。
3. 单击“确定”按钮确认删除操作。
四、搜索和过滤4.1 执行搜索操作ldapadmin提供了强大的搜索功能,您可以根据特定的条件搜索目录项。
ldap认证流程LDAP认证流程全称是“轻量目录访问协议”(LightweightDirectoryAccessProtocol,LDAP)认证流程。
它是一种基于客户端/服务器的、基于 TCP/IP应用协议,通过使用安全的认证机制来访问、管理和搜索分布式目录服务器上存储的信息。
LDAP认证流程一般包括以下5步:第一步:客户端连接LDAP服务器。
客户端连接LDAP服务器时,首先会向服务器发送连接请求,然后服务器会接受该请求并启动安全会话。
第二步:客户端发送身份验证请求。
客户端必须发送一个身份验证请求给LDAP服务器,提供一个认证的名字,一般是用户名。
第三步:服务器处理身份验证请求。
LDAP服务器会根据客户端发送的用户名,查找到该用户名所关联的密码,再和客户端发送的密码进行比对,如果两者相同,则LDAP服务器会认可客户端的请求。
第四步:身份验证成功,服务器返回绑定信息。
如果客户端的身份验证请求被LDAP服务器认可,那么LDAP服务器就会发送一个绑定信息给客户端,以表示客户端已经被认可为该LDAP服务器的合法用户。
第五步:客户端获取服务器上的信息。
当客户端获取到所需要的绑定信息之后,就可以向LDAP服务器发送请求,请求获取服务器上存放的信息了。
LDAP服务器接收到客户端的请求之后,就会根据客户端的要求返回所需要的信息。
LDAP认证流程一般用于某些网络资源的认证和授权,例如某些安全性比较高的服务器上的文件共享等,通常会使用LDAP进行认证和授权操作。
传统上,LDAP认证流程是运行在企业网络内部的,只有本地用户可以访问资源,但是随着网络的发展,现在企业的外部用户也可以使用LDAP认证流程进行认证和授权。
LDAP认证流程具有很多优势,例如,可以实现网络信息搜索,提供两步认证,具有安全性等。
此外,LDAP还支持其他认证系统,比如Kerberos认证系统,可以同时使用两套认证机制,以更好地保护服务器上存储的信息。
LDAP服务器是什么LDAP服务器它的全称为Lightweight Directory Access Protocol,LDAP服务器它支持TCP/IP。
关于LDAP服务器店铺也进行了恶补,查阅了很多资料,下面,店铺把有关的内容及相关知识,介绍分享给大家,也希望大家可以根据店铺的介绍,认识了解LDAP 服务器。
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。
它是基于X.500标准的,但是简单多了并且可以根据需要定制。
与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。
LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到LDAP目录以树状的层次结构来存储数据。
如果你对自顶向下的DNS树或UNIX文件的目录树比较熟悉,也就很容易掌握LDAP目录树这个概念了。
就象DNS的主机名那样,LDAP目录记录的标识名(Distinguished Name,简称DN)是用来读取单个记录,以及回溯到树的顶部首先,小编为大家介绍LDAP服务器的基本内容,LDAP服务器简单来说它是一种得到某些数据的快捷方式,同时LDAP服务器也是一个协议,它经常被用作集体的地址本使用,甚至可以做到更加庞大。
它是一种特殊的数据库,与一般的数据库相比有很大的差距,LDAP服务器的读性与一般服务器相比更加优秀。
同时LDAP服务器在查询上总了很多的优化,所以利用它可以快速查询出想要得到的结果,当然它也有缺陷,比如在更新方面,它会更新的很慢。
接下来,小编再为大家介绍一下LDAP服务器的目录有哪些优势和特点,第一个特点就是LDAP服务器目录可以帮助大多数的用户解决网络服务的账户问题。
第二个特点就是LDAP服务器目录它可以很好地保证了数据的完整性,因为你在LDAP服务器目录中规定了统一的数据库,从而可以实现资源的统一性。
近几年,随着LDAP(Light Directory Access Protocol,轻量级目录访问协议)技术的兴起和应用领域的不断扩展,目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案,特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面,都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。
对于任何一家大IT网络的企业来说,IT系统中的目录服务功能是必不可少的。
如果一个在全国有多个分支机构的企业,已经有了一个内部网络系统,每一个分支机构都有一个局域网,局域网之间通过专线或者VPN通道连接在一起,那么,怎么样把网络中的资源和信息有效地管理起来呢?通常,这个企业可以在每一个分支机构或者每个城市建立一个目录服务器,任何地方的员工连接到本地目录服务器就可以访问到目录树中所有的信息,在目录服务器之间复制目录信息,以保持同步。
比如,人事部门看到的人员目录与财务部门、设备管理部门看到的人员目录是完全一致的,他们所使用的应用系统无须再建立另一套目录结构。
当然,这一切都是要经过身份验证的。
目录服务有着如此重要的作用,但在过去,企业通常采用基于Windows的目录服务器,Linux在这方面相形逊色。
作为Windows的核心内容,目录服务被企业IT人员认为是Windows 与Linux相比最具竞争力的部分,也成为Linux产品架构中的软肋。
随着Red Hat Enterprise Linux 4.0出现,这个情况已经改变了。
RHEL 4 内附的LDAP 服务器为OpenLDAP 2.2.13-2 版,OpenLDAP 2.x包括数个重要功能:1. 支持LDAPv3 - OpenLDAP2.0 除了其它改善外还支持SASL(SimpleAuthentication and Security Layer)、TLS(Transport Layer Security)以及SSL(Secure Sockets Layer)。
LDAPv2 之后通讯协议很多的改变都是为了加强LDAP 的安全性。
2. 支持IPv6 - OpenLDAP 支持新一代的因特网通讯协议第6 版。
3. LDAP Over IPC - OpenLDAP 能够使用IPC 在系统内进行通讯。
这可以避免使用网络通讯以增加安全性。
4. 使用新的应用程序界面:改善程序设计人员联机及使用程序的方法。
本文把以Red Hat Enterprise Linux 4.0 为例,介绍在Linux平台使用OpenLDAP上建立目录服务器。
一、LDAP协议简介LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。
目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。
目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。
目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。
而目录服务的更新则一般都非常简单。
这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。
为了访问存储在目录中的信息,就需要使用运行在TCP/IP之上的访问协议—LDAP。
LDAP目录中的信息是是按照树型结构组织,具体信息存储在条目(entry)的数据结构中。
条目相当于关系数据库中表的记录;条目是具有区别名DN(Distinguished Name)的属性(Attribute),DN是用来引用条目的,DN相当于关系数据库表中的关键字(Primary Key)。
属性由类型(Type)和一个或多个值(Values)组成,相当于关系数据库中的字段(Field)由字段名和数据类型组成,只是为了方便检索的需要,LDAP中的Type 可以有多个Value,而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。
LDAP中条目的组织一般按照地理位置和组织关系进行组织,非常的直观。
LDAP系统结构图见图1.图1 LDAP系统结构图LDAP的信息是以树型结构存储的,在树根一般定义国家(c=CN)或域名(dc=com),在其下则往往定义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People)。
一个组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。
此外,LDAP支持对条目能够和必须支持哪些属性进行控制,这是有一个特殊的称为对象类别(objectClass)的属性来实现的。
该属性的值决定了该条目必须遵循的一些规则,其规定了该条目能够及至少应该包含哪些属性。
例如:inetorgPerson对象类需要支持sn(surname)和cn(common name)属性,但也可以包含可选的如邮件,电话号码等属性。
dn :一条记录的位置;dc :一条记录所属区域;ou :一条记录所属组织;cn/uid:一条记录的名字/ID。
OpenLdap是一个正在得到日益普遍应用的开源软件,和LADP完全兼容。
二、安装OpenLDAP服务器如果在系统安装时已经把安装上了,那么我们就可以直接对OpenLDAP进行配置使用了。
否则,可以通过Rat Het Enterprise Linux图形界面下的“添加/删除应用程序”工具进行安装。
具体方法是,选择“主选单”→“系统设置”→“添加/删除应用程序”,在弹出的界面中选中“网络服务器”的“OpenLDAP-server”,单击“更新”即可,见图2。
图2 安装OpenLDAP 服务器软件如果你使用的是其他版本的Linux,那么通常要安装以下软件包:OpenLDAP、OpenLDAP-servers、OpenLDAP-clients、OpenLDAP-devel ,OpenLDAP-2.0是必要套件,一定要先安装;OpenLDAP-servers是服务器套件;OpenLDAP-clients是操作程序套件;OpenLDAP-devel是开发工具套件。
三、配置OpenLDAP 服务器以RedHat Linux 4所为例字介绍OpenLDAP 服务器配置文件。
主要文件见表1。
表11. 建立Linux用户账号使用文本编辑建立一个文本文件,文件名称myusers.list 内容如下:user1 123456user2 123456user3 123456user4 123456user5 123456user6 123456user7 123456user8 123456user9 123456注意:第一个字段为使用者名称;第二个字段为预设密码,中间必须用空格隔开。
然后使用文本编辑建立另外一个文本文件,文件名称add-users.sh内容如下:#!/bin/bash$1}' users.list `for i in `awk '{printdouseradd $igrep "\<$i\>$2}' | passwd --stdin" users.list | awk '{print $idone建立Linux用户账号:#chmod 775 add-users.sh#./add-users.sh2.修改缺省配置文件:/etc/OpenLDAP/slapd.conf,请把蓝色部分按照您的具体情况填写。
database bdbsuffix "dc=myexample,dc=com" #一条记录所属区域#rootdn "cn=Manager,dc=example,dc=com"rootpw 1234567 #定义LDAP根管理员的密码3.把原有Linux 账号转为LDIF 文件原有Linux 服务器上有user1-user9 这些使用者账号,密码均为123456;下面便是转换的步骤:# cd /usr/share/OpenLDAP/migration #转换文件的目录## vi migrate_common.ph$DEFAULT_MAIL_DOMAIN = "";Default base$DEFAULT_BASE = "dc=myexample,dc=com";# ./migrate_passwd.pl /etc/passwd > /worktmp/user.ldif# ./migrate_group.pl /etc/group > /worktmp/group.ldif4. 建立example.ldif,ou_people.ldif, ou_group.ldif三个文件#cat example.ldifdn: dc=example,dc=comdc: exampleobjectClass: dcObjectobjectClass: organizationalUnitou: #cat ou_people.ldifdn: ou=people, dc=example, dc=comobjectclass: organizationalunitou: people#cat ou_group.ldifdn: ou=group, dc=example, dc=comobjectclass: organizationalunitou: group5. 转换原有Linux 账号至OpenLDAP服务器上:#slapadd -vl example.ldifadded: "dc=example,dc=com" (00000001)#slapadd -vl ou_people.ldifadded: "ou=people,dc=example,dc=com" (00000002)#slapadd -vl ou_group.ldifadded: "ou=group,dc=example,dc=com" (00000043)#slapadd -vl user.ldif#slapadd -vl group.ldif四、启动OpenLDAP服务器#chown ldap.ldap /var/lib/ldap/* #把/var/lib/ldap/目录内的档案变更拥有者及群组为ldap。
然后可以通过Rat Het Enterprise Linux图形界面下的选择“主选单”→“系统设置”→“服务器设置”→“服务”,在弹出的界面中选中ldap”,单击“重新启动”即可,见图3。
