LDAP服务器的概念和原理简单介绍

LDAP服务器的概念和原理简单介绍

1. 目录服务

目录是一个为查询、浏览和搜索而优化的专业分布式数据库，它呈树状结构组织数据，就好象Linux/Unix系统中的文件目录一样

LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写，LDAP是从X.500目录访问协议的基础上发展过来的。

2. LDAP特点

LDAP的结构用树来表示，而不是用表格

LDAP是一种开放Internet标准，LDAP协议是跨平台的Interent协议

3. LDAP组织数据的方式

4. 基本概念

在浏览LDAP相关文档时经常会遇见一些概念

4.1 Entry

条目，也叫记录项，是LDAP中最基本的颗粒，就像字典中的词条，或者是数据库中的记录

通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的。

dn：每一个条目都有一个唯一的标识名（distinguished Name ，DN），如上图中一个 dn：”cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org” 。通过DN的层次型语法结构，可以方便地表示出条目在LDAP树中的位置，通常用于检索。

rdn：一般指dn逗号最左边的部分，如cn=baby。它与RootDN不同，RootDN通常与RootPW同时出现，特指管理LDAP中信息的最高权限用户。

Base DN：LDAP目录树的最顶部就是根，也就是所谓的“Base DN”，如”dc=mydomain,dc=org”。

4.2 Attribute

每个条目都可以有很多属性（Attribute），比如常见的人都有姓名、地址、电话等属性

LDAP为人员组织机构中常见的对象都设计了属性(比如commonName，surname)

4.3 ObjectClass

对象类是属性的集合，LDAP预想了很多人员组织机构中常见的对象，并将其封装成对象类

4.4 Schema

对象类（ObjectClass）、属性类型（AttributeType）、语法（Syntax）分别约定了条目、属性、值，他们之间的关系如下 图所示

4.5 backend

dap的后台进程slapd接收、响应请求

一个 backend 可以有多个 database instance，但每个 database 的 suffix 和 rootdn 不一样

4.6 database

实际存储数据、获取数据的操作是由Backends做的，而数据是存放在database中

bdb是一个高性能的支持事务和故障恢复的数据库后端，可以满足绝大部分需求

4.7 TLS & SASL

分布式LDAP 是以明文的格式通过网络来发送信息的，包括client访问ldap的密码（当然一般密码已然是二进制的），SSL/TLS 的加密协议就是来保证数据传送的保密性和完整性

SASL （Simple Authenticaion and Security Layer）简单身份验证安全框架，它能够实现openldap客户端到服务端的用户验证，也是ldapsearch、ldapmodify这些标准客户端工具默认尝试与LDAP服务端认证用户的方式（前提是已经安装好 Cyrus SASL）

4.8 LDIF

LDIF（LDAP Data Interchange Format，数据交换格式）是LDAP数据库信息的一种文本格式，用于数据的导入导出，每行都是“属性: 值”对