下载文档原格式
LDAP 技术总结(本文档由廖武锋编写)第一章LDAP有关技术介绍第一节X.500目录服务OSL X.500 目录是基于OSI网络协议的目录服务协议,也是LDAP的前身。
但是X.500的缺点是不支持TCP/IP,而是支持OSI协议,显然,在Windows等个人电脑上不可以使用OSI协议,在此前提下,也就产生了访问X.500目录的网关-LDAP。
第二节什么是LDAP?LDAP 英文全称是Light Weight Directory Access Protocol,一般都简称为LDAP。
它是基于X.500标准的,但是简单多了并且可以根据需要定制。
与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。
LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
现在LDAP技术不仅发展得很快而且也是激动人心的。
在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。
LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等等。
通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方。
第三节Sun One Directory Server目录服务第四节Windows Active Directory 活动目录Active Directory (AD)是微软为.net中的对象访问定义的目录服务,包括目录服务本身,以及客户端API(ADSI)。
AD并不是LDAP在.net中的实现,而是X.500在.net中的实现,但AD前端支持并主要以LDAP形式进行访问。
完整地说,AD 是基于微软自身定义的X.500扩展的一系列Schema 实现的X.500目录服务及相关的访问控制工具的集合,其前端支持LDAP的查询,目的是对.net中涉及的所有网络对象提供目录服务。
Ldap 图解•选择使用 openldap 或 mysql 来存储虚拟域和虚拟用户。
这里是选择 openldap•设置 LDAP suffix•设置 LDAP 管理员 cn=manager,dc=example,dc=com 密码•设置 mysql 密码,iredmail 需要使用 mysql 来存储 webmail 的设置•添加第一个 domain•设置 domain 管理员 postmaster 密码•设置 domain 第一个用户 www 的密码•是否启用 SPF 和 DKIM•选择组件•选择 webmail 的默认语言•设置 root 的 alias•决定是否开始安装•安装完成后,设置 ssh 和 iptable************************************************************************* * iRedMail-0.5.1 installation and configuration complete. ************************************************************************* < Question > Would you like to use iptables rules shipped within iRedMail now? < Question > File: /etc/default/iptables, with SSHD port: 22. [Y|n] < INFO > Copy iptables sample rules: /etc/default/iptables. < Question > Restart iptables now (with SSHD port 22)? [y|N] < INFO > Skip restart iptable rules. < Question > Would you like to start postfix now? [y|N] ********************************************************************* Congratulations, mail server setup complete. Please refer to tip * file for more information: * * * * And it's sent to your mail account www@,www@. * * If you want to remove and re-install iRedMail, here are steps: * * * * * * * * Please reboot your system to enable mail services or start them * manually without reboot: * * # for i in sysklogd apache2 postfix mysql slapd postfix-policyd dovecot amavis clamav-daemon clamav-freshclam cron iptables; do /etc/init.d/${i} restart; done * ******************************************************************** - Run script to remove main components installed by iRedMail: # cd tools/ # bash clear_iredmail.sh - Remove iRedMail installation process status: # rm -f /root/iRedMail-0.5.1/.iRedMail.installation.status - Install iRedMail like you did before. - /root/iRedMail-0.5.1/iRedMail.tips•你可以重新启动机器或者重启邮件相关的服务# for i in sysklogd apache2 postfix mysql slapd postfix-policyd dovecot amavis clamav-daemon clamav-freshclam cron iptables; do /etc/init.d/${i} restart; done。
LDAP快速入门LDAP快速入门1. LDAP简介LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。
目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。
目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。
目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。
而目录服务的更新则一般都非常简单。
这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。
为了访问存储在目录中的信息,就需要使用运行在TCP/IP 之上的访问协议—LDAP。
LDAP目录中的信息是是按照树型结构组织,具体信息存储在条目(entry)的数据结构中。
条目相当于关系数据库中表的记录;条目是具有区别名DN (Distinguished Name)的属性(Attribute),DN是用来引用条目的,DN相当于关系数据库表中的关键字(Primary Key)。
属性由类型(Type)和一个或多个值(Values)组成,相当于关系数据库中的字段(Field)由字段名和数据类型组成,只是为了方便检索的需要,LDAP中的Type可以有多个Value,而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。
LDAP中条目的组织一般按照地理位置和组织关系进行组织,非常的直观。
LDAP把数据存放在文件中,为提高效率可以使用基于索引的文件数据库,而不是关系数据库。
类型的一个例子就是mail,其值将是一个电子邮件地址。
LDAP的信息是以树型结构存储的,在树根一般定义国家(c=CN)或域名(dc=com),在其下则往往定义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People)。
一个组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。
LDAP基本概念LDAP(Lightweight Directory Access Protocol)是一种基于计算模型的客户机/服务器目录服务访问协议。
LDAP是从目录访问协议的基础上发展过来的,它是对的简化,它和的主要区别在于:1. LDAP是基于TCP/IP的,而是基于OSI网络协议栈,OSI很少有真正的应用2. LDAP删除了中一些繁琐而不常用的功能3. LDAP使用了更简洁的字符串来表示数据,而非比较复杂的结构化语法ASN1(Abstract Syntax Notation One)LDAP客户端和LDAP服务器端交互的一般过程1. LDAP客户端发起连接请求与LDAP服务器建立会话,LDAP的术语是绑定(binding)。
在建立绑定时客户端通常需要指定访问用户,以便能够访问服务器上的目录信息。
2. LDAP客户端发出目录查询、新建、更新、删除、移动目录条目、比较目录条目等操作3. LDAP客户端结束与服务器的会话,即解除绑定(unbinding)LDAP和RFC文档LDAP协议的版本目前是,它是有一系列RFC组成成的:RFC2251 Light-weight Directory Access Protocol主要定义了LDAP的操作、在客户端和服务器之间的交换的消息格式。
为了更好地支持国际化,它规定数据用UTF-8表示。
此外,相对旧版本RFC2251又添加了referral的功能,并把schema本身存放到目录中,使得客户端可以读取schema信息RFC2252 Light-weight Directory Access Protocol -- Attribute Syntax DefinitionRFC2253 Light-weight Directory Access Protocol -- UTF-8 String Representation of Distinguished NamesRFC2254 Light-weight Directory Access Protocol -- The String Representation of LDAP Search FiltersRFC2255 Light-weight Directory Access Protocol -- The LDAP URL formatRFC2256 A summary of user schema for use with LDAP v3一些常用的objectClass和属性已经由定义,该RFC对这些在LDAP中使用的objectClass 作了总结。
什么是LADP(一)什么是LADP(一)2008-01-31 10:41原文:原文作者:Michael Donnelly翻译:Brimmer如果你在计算机行业工作,那么对LDAP可能早有耳闻了。
想深入地了解LDAP吗?那么可以好好地读一下这篇文章。
这篇介绍性的文章是一系列介绍如何在企业中设计、实现和集成LDAP环境的文章的头一篇。
主要是先让你熟悉一下LDAP的基本概念,那些比较困难的细节问题将放到以后讨论。
在这篇文章中我们将要介绍:什么是LDAP?什么时候该用LDAP存储数据?LDAP目录树的结构单独的LDAP记录作为例子的一个单独的数据项LDAP复制安全和访问控制现在LDAP技术不仅发展得很快而且也是激动人心的。
在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。
LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等。
通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方。
如果Oracle、Sybase、Informix或Microsoft SQL数据库中已经存储了类似的数据,那么LDAP和这些数据库到底有什么不同呢?是什么让它更具优势?请继续读下去吧!什么是LDAP?LDAP的英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。
它是基于X.500标准的,但是简单多了并且可以根据需要定制。
与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。
LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
怎么使用LDAP这个术语呢?在日常交谈中,你可能会听到有些人这么说:“我们要把那些东西存在LDAP中吗?”,或者“从LDAP数据库中取出那些数据!”,又或者“我们怎么把LDAP和关系型数据库集成在一起?”。
IceWarp 集成LDAP服务同步管理用户实现客户端地址簿共享查找LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。
它是基于X.500标准的,但是更简单并且可以根据需要定制。
与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。
目前,很多公司都把LDAP和自己的产品、技术结合在一起,增加LDAP在各个领域中的有效性,这一切都来源于LDAP是一个开放的协议,很容易和其他标准协议共存。
IceWarp Server 作为国际老牌的邮件服务器厂商,充分表现在系统的开放性,自身集成 LDAP服务,亦可使用第三方 LDAP 服务器,同步用户帐户实现用户帐户管理,用来做地址簿的共享,使得用户在MS Outlook、Outlook Express 或者其他邮件客户端上通过LDAP 服务器来查找同事的邮件地址。
使用LDAP做身份认证为什么需要使用LDAP数据库?用传统的关系型数据库不可以吗?LDAP服务器就是起到了一个认证Server的作用,从技术本身而言,这个认证Server 具体使用的是何种数据库并不重要,如果使用一个关系型数据库也可以达到统一身份认证的目的,但LDAP 自身的优势使得很多公司最终选择它。
◆LDAP是一个开放的标准协议,不同于SQL数据库,LDAP的客户端是跨平台的,并且对几乎所有的程序语言都有标准的API接口。
即使是改变了LDAP数据库产品的提供厂商,开发人员也不用担心需要修改程序才能适应新的数据库产品。
这个优势是使用SQL语言进行查询的关系型数据库难以达到的。
◆由于LDAP数据库的数据存储是树结构,整棵树的任何一个分支都可以单独放在一个服务器中进行分布式管理,不仅有利于做服务器的负载均衡,还方便了跨地域的服务器部署。
这个优势在查询负载大或企业在不同地域都设有分公司的时候体现尤为明显。
WX系列AC实现Portal+LDAP功能的典型配置(账号的姓名使用中文)一、组网需求:WX系列AC、FIT AP、便携机(安装有无线网卡)、LDAP服务器二、组网图:本典型配置举例中AC使用WX5004无线控制器,AP和Client通过DHCP方式获取IP地址。
WX5004上LDAP Server属于VLAN 100(网关192.168.100.1/24),AP属于VLAN 10(网关192.168.1.1/24),Client属于VLAN 20(网关192.168.2.1/24)。
三、特性介绍:LDAP是一种基于TCP/IP的目录访问协议,用于提供跨平台的、基于标准的目录服务。
LDAP协议的典型应用是用来保存系统的用户信息,如Microsoft的Windows操作系统就是使用了Active Directory Server来保存操作系统的用户、用户组等信息,用于用户登录Windows时的认证和授权。
LDAP的目录服务功能建立在Client/Server的基础之上。
所有的目录信息存储在LDAP服务器上。
LDAP服务器就是一系列实现目录协议并管理存储目录数据的数据库程序。
目前,Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server 都是常用的LDAP服务器软件。
使用LDAP协议进行认证时,其基本的工作流程如下:(1)LDAP客户端使用LDAP服务器管理员DN与LDAP服务器进行绑定,与LDAP服务器建立连接并获得查询权限。
(2)LDAP客户端使用认证信息中的用户名构造查询条件,在LDAP 服务器指定根目录下查询此用户,得到用户的DN。
(3)LDAP客户端使用用户DN和用户密码与LDAP服务器进行绑定,检查用户密码是否正确。
使用LDAP协议进行授权时,操作与认证过程相似,只是在查询用户时,除获得用户DN外,还可以获得用户信息中的授权信息。
