下载掌阅APP,畅读海量书库
立即打开
LDAP(Lightweight Directory Access Protocol,轻量目录访问协议),是在X.500标准基础上产生的一个简化版本的访问目录数据库的协议。LDAP目录服务是由目录数据库和一套访问协议组成的系统,通俗点说,可以把LDAP理解为一个关系型数据库,其中存储了域内主机的各种配置信息。当我们想要查找管理某个对象时,就可以通过LDAP层次结构查找实现,如图1-23所示。
LDAP是为了实现目录服务信息访问而构建的一种协议,由LDAP、Domain、DN三部分组成。客户端通常会通过LDAP发起会话连接到请求服务器,在请求时客户端无须等待服务器的响应即可发送下一条请求,服务器会通过请求顺序对客户端依次进行响应。以下是LDAP的格式以及组成部分。
图1-23 LDAP层次结构图
❑LDAP:LDAP这一协议。
❑Domain:所要连接的域控制器的域名或者IP地址。
❑DN:标识名称,用户标识对象在活动中的完整路径。
LDAP目录服务是由目录数据库和一套访问协议组成的系统,Microsoft Active Directory其实是微软对目录服务数据库的实现,其中存放着整个域的所有配置信息(用户、计算机等),而LDAP则是对整个目录数据库的访问协议,图1-24为LDAP中的目录结构组织图。
图1-24 LDAP目录结构组织图
1)目录树:整个目录信息集可以表示为一个目录树,树中每一个节点就是一条条目。
2)条目:条目是具有标识名称DN的“属性-值”对的集合,每个条目就是一条记录,如图1-24中每一个圆圈为一条记录。
3)DN:一个条目的标识名称叫作DN,DN相当于关系型数据库表中的“主键”,通常用于检索。
4)属性:通常用于描述条目的具体信息。例如,“uid=UserA,ou=sales,dc=example,dc=com,”说明name属性值为User A,age属性值为32。
通常情况下,Active Directory会利用LDAP命名路径来表明要访问的对象在Active Directory所属的位置,以便在客户端通过LDAP进行访问时能够快速查找到此对象,图1-25为LDAP命名路径图。
图1-25 LDAP命名路径图
DN是指对象在Active Directory内的完整路径。DN有三个属性,分别是CN(公共通用名称)、OU(组织单位)、DC(域名组件)。对DN三个属性的解读如表1-1所示。
表1-1 DN标识名称三个属性
如图1-26所示,这是一个DN。其中“CN=yunwei01”代表一个用户名,“OU=安全运维组”“OU=运维管理部”代表一个目录服务中的组织单位。该DN的含义是yunwei01这个对象处在testfirest.com域的运维管理部安全运维组中。
图1-26 字符串属性编辑器
完整路径为testfirest.com域中的运维管理部下面的安全运维组中的用户yunwei01,如图1-27所示。
图1-27 yunwei01用户的完整路径
接下来介绍几个常见的术语。
❑相对标识名称(Relative Distinguished Name,RDN):类似于文件系统中的相对路径,表示与目录树结构无关的部分。例如,上述路径中的“CN=yunwei01”与“OU=运维管理部”等部分都是RDN。
❑全局唯一标识符(Global Unique Identifier,GUID):GUID是一个128位的数值,系统会自动为每个对象指定一个唯一的GUID。虽然可以改变对象的名称,但是其GUID永远不会改变。
❑Base DN:LDAP的数据作为树形结构存储,LDAP目录树的最顶部就是根,也就是所谓的Base DN,如“DC=testfirest,DC=com”。
❑用户主体名称(User Principal Name,UPN):其实可以通俗地理解成DN的简称。比如,yunwei01属于testfirest.com,那么UPN就是yunwei01@testfirest.com。