ldap协议格式.docx
- 文档编号:8921816
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:8
- 大小:22.70KB
ldap协议格式.docx
《ldap协议格式.docx》由会员分享,可在线阅读,更多相关《ldap协议格式.docx(8页珍藏版)》请在冰豆网上搜索。
ldap协议格式
竭诚为您提供优质文档/双击可除
ldap协议格式
篇一:
ldap协议
目录服务
目录服务就是按照树状模式组织信息,实现信息管理和服务接口的一种方式。
目录服务中一般包括两个方面的内容:
第一个组成部分是:
数据库,这种数据库有别于日常所用到的关系型数据库,它是一种分布型的数据库,并且需要一个描述数据的规则;第二个组成部分是:
访问和处理数据库的相关的协议。
目录服务和关系数据库不同,目录服务不支持批量更新事务处理能力,目录一般只执行简单的更新操作,适合于进行大量数据的检索;目录具有广泛的复制信息的能力,从而在缩短响应时间的同时,提高了可用性和可靠性;目前,目录服务技术的国际标准有两个,即较早的x.500标准和近年迅速发展的ldap标准。
x.500虽然是一个完整协议群组,但是其目录访问协议dap这种应用层的协议是严格按照复杂的iso七层协议模型制定的,对相关层协议环境要求过多,主要运行在unix机器上,在许多小系统上,如pc和macintosh(苹果机)上无法使用,因此没有多少人按照dap开发应用程序,tcp/ip协议体系的普及,更使得这种协议越来越不适应需要。
ldap协议
ldap全称为lightdirectoryaccessprotocol,轻量级目录访问协议,ldap协议从1993年批准,有了V1版本,1997年发布了第三个版本ldapv3,使得ldap协议不仅仅做为x.500的简化版,同时提供了ldap协议许多自有功能特性,ldapV3协议也不是一个单一的协议,而是一个协议群组,包括内容如下:
RFc2251-ldapV3协议核心协议,定义了ldapV3协议的基本模型和操作;RFc2252-定义了ldapV3基本数据模式(schema)以及标准的系统数据模式,schema包括语法、匹配规则、属性类型和对象类;
RFc2253-定义了ldapV3中的分辨名(differentiatename,dn)表达方式;RFc2254-定义了ldapV3中过滤器的表达方式;
RFc2255-定义了ldapV3中统一资源地址格式;
RFc2256-定义了在ldapV3中使用x.500的schema列表;
RFc2829-定义了ldapV3的认证方式;
RFc2830-定义了ldapV3如何通过扩展使用tls服务;
RFc1823-定义了c的关于ldapV3客户端开发接口;
RFc2847-定义了ldap数据导入、导出的文件接口ldiF;
在这些协议中,主要定义了ldap的内容,同时定义了信息模型,确定了ldap目录中所存储的信息的格式和字符集,如何表示目录信息(定义对象类、属性、匹配规则和语法等模式)。
一个命名空间:
确定对信息进行的组织方式即就是目录信息树dit,以dn和Rdn为基础的命名方式,以及ldap信息的internet表示方式;
一个功能模型:
确定可以在信息上执行的操作的通讯协议以及在客户端尽心这些操作的api接口;
一个安全框架:
保证目录中信息的安全,匿名、用户名/密码、sasl等多种认证方式以及与tls结合的通讯保护框架;
一个操作模型:
分布式的操作模型,基于Referral方式的分布式操作框架;一个ldap扩展框架:
基于控制和扩展操作的ldap扩展框架。
ldap的基本模型
信息模型:
用来描述ldap中信息的表达方式。
在ldap中信息以树状形式组织,在树状信息中基本的信息单元是条目,而每个条目有属性组成,属性中存储有属性的值;ldap中的信息模式,类似于面向对象的概念,在ldap中每条目必有属于某个或者多个对象类(objectclass),每个objectclass由多个属性类型组成,每个属性类型有所对应的语法和匹配规则;对象类和属性类型的定义均可以使用继承的概念。
每个条目创建时,必须定义所属的对象类,必须提供对象类中的必选属性类型的属性值,在ldap中一个属性类型可以对应多个值。
在ldap中把对象类、属性类型、语法和匹配规则统称为schema,在ldap中有许多系统对象类、属性类型、语法和匹配规则,这些系统schema在ldap标准中进行了规定,同时不同的应用领域也定义了自己的schema,同时用户在应用时,也可以根据需要自定义schema。
这有些类似于xml,除了xml标准中的xml定义外,每个行业都有自己标准的dtd或dom定义,用户也可以自扩展;也如同xml,在ldap中也鼓励用户尽量使用标准的schema,以增强信息的互联互通。
在schema中最难理解的是匹配规则,这是ldap中为了加快查询的速度,针对不同的数据类型,可以提供不同的匹配方法,如针对字符串类型的相等、模糊、大于小于均提供自己的匹配规则。
命名模型:
描述ldap中的数据如何组织ldap中的命名模型,也即ldap中的条目定位方式。
在ldap中每个条目均有自己的dn和Rdn。
dn是该条目在整个树中的唯一名称标识,Rdn是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是dn,文件名就是Rdn。
功能模型:
描述ldap中的数据操作访问
在ldap中共有四类10种操作:
查询类操作,如搜索、比较;更新类操作,如添加条目、删除条目、修改条目、修改条目名;认证类操作,如绑定、解绑定;其它操作,如放弃和扩展操作。
除了扩展操作,另外9种是ldap的标准操作;扩展操作是ldap中为了增加新的功能,提供的一种标准的扩展框架,当前已经成为ldap标准的扩展操作,有修改密码和starttls扩展,在新的RFc标准和草案中正在增加一些新的扩展操作,不同的ldap厂商也均定义了自己的扩展操作。
安全模型:
描述ldap中的安全机制
ldap中的安全模型主要通过身份认证、安全通道和访问控制来实现。
身份认证在ldap中提供三种认证机制,即匿名、基本认证和sasl(simpleauthenticationandsecurelayer)认证。
匿名认证即不对用户进行认证,该方法仅对完全公开的方式适用;基本认证均是通过用户名和密码进行身份识别,又分为简单密码和摘要密码认证;sasl认证即ldap提供的在ssl和tls安全通道基础上进行的身份认证,包括数字证书的认证。
通讯安全在ldap中提供了基于ssl/tls的通讯安全保障。
ssl/tls是基于pki信息安全技术,是目前internet上广泛采用的安全服务。
ldap通过starttls方式启动tls服务,可以提供通讯中的数据保密性、完整性保护;通过强制客户端证书认证的tls服务,同时可以实现对客户端身份和服务器端身份的双向验证。
访问控制虽然ldap目前并无访问控制的标准,但从一些草案中或是事实上ldap产品的访问控制情况,我们不难看出:
ldap访问控制异常的灵活和丰富,在ldap中是基于访问控制策略语句来实现访问控制的,这不同于现有的关系型数据库系统和应用系统,它是通过基于访问控制列表来实现的,无论是基于组模式或角色模式,都摆脱不了这种限制。
在使用关系型数据库系统开发应用时,往往是通过几个固定的数据库用户名访问数据库。
对于应用系统本身的访问控制,通常是需要建立专门的用户表,在应用系统内开发针对不同用户的访问控制授权代码,这样一旦访问控制策略变更时,往往需要代码进行变更。
总之一句话,关系型数据库的应用中用户数据管理和数据库访问标识是分离的,复杂的数据访问控制需要通过应用来实现。
而对于ldap,用户数据管理和访问标识是一体的,应用不需要关心访问控制的实现。
这是由于在ldap中的访问控制语句是基于策略语句来实现的,无论是访问控制的数据对象,还是访问控制的主体对象,均是与这些对象在树中的位置和对象本身的数据特征相关。
在ldap中,可以把整个目录、目录的子树、制定条目、特定条目属性集或符合某过滤条件的条目作为控制对象进行授权;可以把特定用户、属于特定组或所有目录用户作为授权主体进行授权;最后,还可以定义对特定位置(例如ip地址或dns名称)的访问权
========================================
[转]常用ldapserver
20xx-03-1109:
32:
41
大中小
随着存储技术的不断进步,越来越多的公司采用ldapserver存储数据,其高效和方便性使得其成为实现ngn必不可少的技术之一。
下面是关于几种常用的ldapserver的简单介绍。
1,openldap2.x:
openldapproject由一个志愿者小组组成,其下载地址是/jeet/archive/20xx/03/30/128288.html方法在microsoft平台singlesignon(单点登录)的解决方案中,大多数是采用activedirectory(活动目录)来实现。
但在现实的环境中,很多企业出于各种各样的原因(或者是原来用的是unix、linux的环境,或是原来有其它
篇二:
ldap协议
ldap协议
目录
前言...........................................................................................................................................3
第一章起源与影响.................................................................................................................3
1.1起源............................................................................................................................3
1.2影响............................................................................................................................4
第二章协议概况.....................................................................................................................4
2.1ldap协议模型............................................................................................................4
2.2数据模型....................................................................................................................5
第三章目录结构...................................................................................................................7
3.1基准dn......................................................................................................................7
3.2在目录树中组织数据................................................................................................8
3.3数据结构....................................................................................................................9
第四章操作...........................................................................................................................9
4.1添加..........................................................................................................................10
4.2绑定(认证)..........................................................................................................10
4.3删除..........................................................................................................................11
4.4查询比较..................................................................................................................11
4.5修改..........................................................................................................................11
4.6starttls...................................................................................................................12
4.7unbind....................................................................................................................12
第五章ldapuRls................................................................................................................13
第六章模式...........................................................................................................................13
6.1模式概述..................................................................................................................13
6.2模式扩展..................................................................................................................14
6.3不同目录服务器对扩展模式的支持......................................................................16
第七章变化.........................................................................................................................16
第八章RFc2254..................................................................................................................16
8.1ldap搜索过滤器定义............................................................................................16
8.2字符串搜索过滤器定义..........................................................................................17
8.3举例..........................................................................................................................19
8.4安全注意事项..........................................................................................................20
第九章连接目录服务器(java).......................................................................................20
9.1目录服务器建立连接.............................................................................................20
9.2获取目录服务器指定条目的属性值....................................................................21
总结.........................................................................................................................................23
ldap协议
前言
现在ldap技术不仅发展得很快而且也是激动人心的。
在企业范围内实现ldap可以让运行在几乎所有计算机平台上的所有的应用程序从ldap目录中获取信息。
ldap目录中可以存储各种类型的数据:
电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等。
通过把ldap目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方。
如果
oracle、sybase、informix或microsoftsql数据库中已经存储了类似的数据,那么ldap和这些数据库到底有什么不同呢?
是什么让它更具优势?
请继续读下去吧!
第一章起源与影响
1.1起源
1.1.1x.500的出现
ldap(light-weightdirectoryaccessprotocol)是在国际电报电话咨询委员会(ccitt)和国际标准化组织(iso)联合开发的许多标准的基础上建立的。
ccitt现在称为国际电信联盟(itu)。
itu和iso的目标是定义一个通用的目录标准,尽可能包括最广泛的目录服务。
所开发的标准将构成面向ccitt和itu开发的开放系统互连(osi)网络模型的目录服务。
最终的标准x.500是一个既复杂又全面的标准,很难实施,而且成本高昂,需要运行复杂的osi网络协议。
该标准旨在拥有一个分布全球的目录,并且带有标准访问接口。
x.500目录标准极其复杂。
作为其设计操作平台的osi网络协议也比现在通常使用的传输控制协议,internet协议(tcp/ip)套件复杂得多。
1.1.2到ldap的过渡
x.500接受和实施的主要问题是其过于复杂,并且实施和管理相关成本非常高。
为了提高x.500目录的可接受性,internet工程任务组(ietF)决定定义新的访问协议。
该协议更简单,不依赖于osi堆栈,而使用tcp/ip堆栈。
这产生了两个新协议:
目录辅助服务(directoryassistanceservice,das)和有效实施x.500的目录接口(directoryinterfacetox.500implementedefficiently,dixie)。
ldap旨在作为访问x.500目录的轻型方法。
然而,随着时间的推移,情况越来越明显,对x.500目录服务器的访问大部分是通过ldap协议进行的。
当这一情况变得清晰时,目录服务器只能通过ldap访问被设计和实施。
这些服务器不再有x.500目录服务器中的复杂性,其实施和管理费用也更低。
ldap服务器还拥有比x.500目录服务器更出色的性能。
ldap的当前版本是ldapv3。
ldapv1没有作为标准发布。
ldapv2于1995年3月公布,并在三个RFc中进行了定义:
RFc1777、RFc1778和RFc1779。
ldapv2在RFc3494中停止作为标准使用。
现在支持扩展操作和控制,使ldapv3能够在不改变标准协议的情况下进行扩展。
ldapv3可向后兼容ldapv2。
ldapv3服务器的一个要求是ldapv2客户端要能够与之连接。
ldapv3作为操作系统、网络操作系统、目录服务、应用程序(比如:
电子邮件服务器)和客户端应用程序的组成部分而得到广泛实施。
1.2影响
1.2.1ldap协议的作用
由于ldap所具有的查询效率高、树状的信息管理模式、分布式的部署框架以及灵活而细腻的访问控制,使ldap广泛地应用于基础性、关键性信息的管理,如用户信息、网络资源信息等。
ldap的应用主要涉及几种类型。
信息安全类:
数字证书管理、授权管理、单点登录;科学计算类:
dce(distributedcomputingenvirionment,分布式计算环境)、uddi(universaldescription,discoveryandintegration,统一描述、发现和集成协议);网络资源管理类:
mail系统、dns系统、网络用户管理、电话号码簿;电子政务资源管理类:
内网组织信息服务、电子政务目录体系、人口基础库、法人基础库。
1.2.2ldap协议的应用
目前,ldap已应用在北京大学校园网络用户管理系统、novell的eprovision应用解决方案、上海公务网统一用户管理、中国数字图书馆系统的用户管理部分,以及北京、上海、天津、福建等省级ca等。
第二章协议概况
2.1ldap协议模型
ldap协议采用客户机/服务器模型。
客户机构造一个ldap协议
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ldap 协议 格式