LDAP 基础知识
LDAP 基础知识
目录
LDAP 基础知识
--简介
--协议概览
--目录结构架构(Schema)
------对象类(objectClass)
------属性(Attribute)
------条目(Entry)
--LDAP 中的数据常用命令
------启动和关闭: start-ds / stop-ds
------检查 LDAP 服务器状态: status
------搜寻条目: ldapsearch
------修改密码: ldappasswordmodify
------列出 backends: list-backends
------导出 LDIF 文件: export-ldif
------导入 LDIF 文件: import-ldif
------管理账户: manage-account
--性能
--LDAP 浏览器
--参考文献
简介
LDAP 是 Lightweight Directory Access Protocol 的缩写,即 轻量目录访问协议。它基于 X.500 标准下更简单的子集标准开发,因此有时 LDAP 也被称之为 X.500-lite,即轻量级 x.500。
目录服务在发展内部网络和因特网应用方面扮演着重要角色,它可以通过互联网分享用户、系统、网络、服务以及应用信息。
目录服务可以提供任何系统化的数据集,并以等级结构(hiearchical structure)呈现结果。比如,公司的邮件目录,或者包含地址和电话号码的电话目录。
LDAP 的一个常用功能是提供用户名和密码的集中存储。不同的应用和服务可以用其来认证用户。
协议概览
客户端发起 LDAP 会话连接到 LDAP 服务器。默认连接端口是 389(LDAP),或者 636(LDAPS)。客户端发起操作请求到服务器,服务器返回响应结果。客户端无需等待服务器响应即可发送下一个请求。服务器则会依次返回响应结果。
客户端可以发送如下操作请求:
- StartTLS - 使用 LDAPv3 TLS 扩展来请求安全连接
- Bind - 认证并指定 LDAP 协议版本
- Search - 搜索目录条目
- Compare - 测试命名条目是否包含指定的属性值
- Add a new entry - 添加一个条目
- Delete an entry - 删除一个条目
- Modify an entry - 修改一个条目
- Modify DN - 修改唯一识别名
- Extended Operation - 用于定义其他操作的通用操作
- Unbind - 关闭连接(注意,并非指 Bind 的逆向操作)
目录结构
在 LDAP 里, 一切都是等级化的,或者称之为层级化(hiearchical)。
一棵树有树干,树枝和树叶;树叶长在树枝上,树枝依附于树干。这就是一个简单的层级结构。LDAP 的结构同一棵树类似。假设 LDAP 里存储的是公司的信息,那么可以把公司(company)本身理解为树干,公司里面的各个部门,比如组(group),理解为树干,把用户(user)理解为树叶。这样的结构称之为目录信息树(DIrectory Information Tree,DIT)。
architecture.png
我们在目录信息树里创建一个条目(entry)时,条目的信息存储在属性(attribute)里,属性又被组合成对象类(objectClass),对象类进一步组成了架构(schema)。
下满我们来解释一下这几个重要的概念。
架构(Schema)
-
Schema 就是一个集合。所有的 objectClass 和 attribute 都定义在 Schema 里。
-
每一个 attribute 和 objectClass,包括其父级 attribute 和 objectClass 都必须定义在一个 Schema 里,且该 Schema 必须能够被 LDAP 服务器识别。
-
定义在一个 Schema 里的 attribute 可以被另一个 Schema 里的 objectClass 使用。
schema.png
对象类(objectClass)
- objectClass 是 attribute 的集合。
- objectClass 定义在 Shema 里。
-
objectClass 可以是下面的类型:
- STRUCTURAL - 可以用于创建条目,即数据对象
- AUXILIARY - 可以添加到任何条目
- ABSTRACT - 不存在,抽象的。最常见的 ABSTRACT objectClass 是 top,表示每个 objectClass 层级的最高形式,用来结束一个层级。
- objectClass 可以以层级的形式呈现,这里它可以继承来自父级的属性。也就是说,objectClass 可以是一个层级的一部分,这种情况下,objectClass 必须和它的父级 objectClass 保持同样的类型,即 STRUCTURAL 或者 AUXILIARY 类型。当父级是 top ABSTRACT 时无需遵守此规则,因为 top ABSTRACT 用结束任何层级结构。
- 一个 objectClass 可以有一个或多个父级的 objectClass。
- objectClass 是用来包含属性的方式。
- objectClass 定义一个 attribute 是否是必须的(MUST)或者是可选的(MAY)。
- objectClass 遵守 ASN.1 注释标准。
示例:下面是一个简单的 objectClass 定义
objectclass ( 2.5.6.2 NAME 'country' DESC 'RFC2256: a country'
SUP top STRUCTURAL
MUST c
MAY ( searchGuide $ description ) )
解释:
- objectClass 是关键字,指明这是一个 objectClass 的定义
-
2.5.6.2 NAME 'country' 定义 objectClass 的全局唯一识别名。它由两部分组成:
- NAME 'country' 为 objectClass 定义一个好理解的名字 country
- 2.5.6.2 定义全局唯一识别名,这种形式称之为 OID(ObjectIdentifier)。由哪个组织分配这个号码并不重要,但是必须是全局唯一的。通常推荐向 IANA申请一个 PEN (Private Enterprise Number)作为 OID 使用。
- SUP 'top' 表示该 objectClass 有一个父级的 objectClass,也就是说它是一个层级的一部分。一个 objectClass 可以有一个或多个父级的 objectClass。
- STRUCTURAL 表示该 objectClass 包含属性且可以形成目录信息树(DIT)里的条目(entry)。一个条目里只能包含一个 STRUCTURAL objectClass。objectClass 也可以是 AUXILIARY,这说明它包含 attributes,可以和任何 STRUCTURAL objectClass一起使用构成一个条目,但是不可以单独构成一个条目。
- DESC 'a country' 为可选值,用来描述 objectClass。
- MUST c 表示 c 属性是必须的。这里的属性 c (c 或者 countryName)必须存在,否则 objectClass 实例无法创建成功。如果要指明多个属性是必须的,写法是 ( attr1 $ attr2 $ attrn)。
- MAY ( searchGuide $ description ) 表示 searchGuide 和 description 是可选的,即创建 objectClass 时这两个属性不需要一定存在。
属性(Attribute)
- attribute 定义在 Schema里。
- 一个 attribute 可以包含在一个或多个 objectClass 里。
- 一个 attribute 可以在包含它的 objectClass 里出现一次(SINGLE-VALUE)或多次(MULTI-VALUE)。默认为多次。
- 一个 attribute 可以是一个层级的一部分,此时它继承所有来自父级的属性。比如,commonName(cn),givenName(gn) 和 surname(sn)都是 name 属性的子类。
- attribute 的定义包含它的类型(SYNTAX),比如,通过 matchingRules 定义字符串(string)或者数字(number)比较时是否大小写敏感。
- attribute 定义遵守 ASN.1 注释标准
示例 1:下面是一个简单的 attribute 定义
attributetype ( 2.5.4.3 NAME ( 'cn' 'commonName' ) SUP name )
解释:
- attributetype 说明这是一个关于 attribute 的定义
-
2.5.4.3 NAME ('cn' 'commonName') 定义一个全局唯一识别名。该识别名由两部分组成:
- NAME ('cn' 'commonName') 定义一个可理解的名字 commonName 或者短别名 cn。原则上,短别名的个数没有限制。cn 排在第一位,它被称为主要名称(primary name)。这在为搜索优化做条目索引时非常重要。
- 2.5.4.3 定义全局唯一的 OID (ObjectIdentifier)。由哪个组织分配这个号码并不重要,但是必须是全局唯一的。通常推荐向 IANA申请一个 PEN (Private Enterprise Number)作为 OID 使用。
示例 2:
attributetype ( 2.5.4.41 NAME 'name'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32768} )
解释:
- attributetype 同上。
- 2.5.4.41 NAME 'name' 同上。
- EQUALITY caseIgnoreMatch 定义了该属性在搜索过滤(serach filter)中的行为。比如,(name=andy)。这里指定该属性在搜索中大小写不敏感。这里的 caseIgnoreSubstringMatch 就是一个 matchingRule。
- SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32768} 是一个 OID,定义数据类型(data type)和要应用到数据的规则(data validation)。完整的定义可参考 RFC 2252 section 4.3.2。在本例中,OID 定义该属性为目录字符串(Directory String)类型(参考 RFC 2252 section 6.10)。 {32768} 定义字符串的最大长度,这是可选的。
条目(Entry)
- 目录信息树里 objectClass 的集合
- entry 有且只能有一个 STRUCTURAL objectClass。一个 STRUCTURAL objectClass 可能有一个同为 STRUCTURAL 类型的父级。
- entry 可以包含任意数目的 AUXILIARY objectClass。
- entry 可以有子 entry(child entry),父 entry(parent entry),同级 entry(sibling entry)
-
entry 有三种类型:
- object entry - 最常见的一种,包含位于 objectClass 属性(attributes)里的用户数据
- alias entry - 带有单一属性 aliasedObjectName 的 objectClass 别名
- subentry - 用于存储与父 entry 相关的管理或者操作数据
下图是关于 objectClass, attribute 以及 entry 的示意图:
dit2.png
LDAP 中的数据
LDAP 中的数据以条目(entry)的形式呈现,就像英文字典里单词的条目。比如下面这个条目。它有很多属性,例如:uid:bjensen,mail:bjensen@example.com。查找条目时,只需要指定一个或者多个属性即可。
同时,该条目有一个唯一识别名称:dn: uid=bjensen,ou=People,dc=example,dc=com。DN 是 Distinguished Name 的缩合。在目录里没有两条相同的唯一识别名称。
dn: uid=bjensen,ou=People,dc=example,dc=com
uid: bjensen
cn: Babs Jensen
cn: Barbara Jensen
facsimileTelephoneNumber: +1 408 555 1992
gidNumber: 1000
givenName: Barbara
homeDirectory: /home/bjensen
l: San Francisco
mail: bjensen@example.com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
ou: People
ou: Product Development
roomNumber: 0209
sn: Jensen
telephoneNumber: +1 408 555 1862
uidNumber: 1076
常用命令
鉴于大多数的 LDAP 软件大同小异,这里的内容就以OpenDS/OpenDJ 为例。
启动和关闭: start-ds / stop-ds
- 语法: start-ds / stop-ds
- Windows:
- 打开命令窗口
- 浏览到到 <INSTALL-DIR>\bat
- 运行:
- 启动: start-ds
- 关闭: stop-ds
- *nix:
- 打开命令窗口
- 浏览到到 <INSTALL-DIR>/bin
- 运行:
- 启动: ./start-ds
- 关闭: ./stop-ds
检查 LDAP 服务器状态: status
- 语法: status
- Windows:
- 打开命令窗口
- 浏览到到 <INSTALL-DIR>\bat
- 运行: status
- *nix:
- 打开命令窗口
- 浏览到到 <INSTALL-DIR>/bin
- 运行: ./status
搜寻条目: ldapsearch
-
语法: ldapsearch <options> <filter> <attributes>,其中:<options> 为选项,<filter> 为过滤条件,<attributes> 为显示的属性
-
示例: ldapsearch -p 389 -h 192.168.93.128 -D cn=Manager -w ts -b o=ptc uid=demo ,其中:
- <options>:-p 389 -h 192.168.93.128 -D cn=Manager -w ts -b o=ptc
- <filter>: uid=demo
dn: uid=demo,ou=people,cn=AdministrativeLdap,cn=Windchill_11.2,o=ptc objectClass: organizationalPerson objectClass: top objectClass: person objectClass: inetOrgPerson uid: demo mail: demouser preferredLanguage: en-US description: demo sn: Demo cn: Demo, User o: Demo Organization userPassword: {SSHA}IDSc3KN4Q1b2YSGfCBQiU4CXgBySg+AQsWkpEA== -
我们可以使用更复杂的条件,比如 "(|(uid=demo)(mail=demouser))": ldapsearch -p 389 -h 192.168.93.128 -D cn=Manager -w ts -b o=ptc "(|(uid=demo)(mail=demouser))"
修改密码: ldappasswordmodify
- 语法: ldappasswordmodify <options>
- 示例: ldappasswordmodify -p 389 -h 192.168.93.128 -D cn=Manager -w ts -a uid=demo,ou=people,cn=AdministrativeLdap,cn=Windchill_11.2,o=ptc -n tsts ,其中:
- <options>: -p 389 -h 192.168.93.128 -D cn=Manager -w ts -a uid=demo,ou=people,cn=AdministrativeLdap,cn=Windchill_11.2,o=ptc -n tsts
- 如果修改成功,则会输出:
The LDAP password modify operation was successful
列出 backends: list-backends
-
语法: list-backends <options>,其中:
- -b, --baseDN {baseDN}
- -n, --backendID {backendName}
-
示例:list-backends
Backend ID : Base DN ---------------:------------------ adminRoot : cn=admin data ads-truststore : cn=ads-truststore backup : cn=backups config : cn=config monitor : cn=monitor schema : cn=schema tasks : cn=tasks userRoot : o=ptc
导出 LDIF 文件: export-ldif
- 语法: export-ldif <options>
- 示例:
- 即刻导出文件: export-ldif --ldifFile /root/config.ldif --backendID config --hostName localhost --port 4444 --bindDN cn=Manager --bindPassword ts --trustAll
- 定时导出文件,比如,在 2017/03/09 11:25:00 导出文件: export-ldif --ldifFile "/root/20170309112500.ldif" --backendID userRoot --hostName "en2k8-wnc-x24.ptcts.com" --port 4444 --bindDN "cn=Manager" --bindPassword ts --trustAll --start "20170309112500"
- 定期导出文件,比如,每月的第一天,12:50 分导出文件: *export-ldif --ldifFile "/root/50121.ldif" --backendID userRoot --hostName "en2k8-wnc-x24.ptcts.com" --port 4444 --bindDN "cn=Manager" --bindPassword ts --trustAll --recurringTask "50 12 1 * "
导入 LDIF 文件: import-ldif
- 语法: import-ldif <options>
- 示例: import-ldif --ldifFile "/root/export.ldif" --backendID "userRoot" --overwrite --hostName "en2k8-wnc-x24.ptcts.com" --port "4444" --bindDN "cn=Manager" "--bindPassword" ts --trustAll
管理账户: manage-account
-
显示账户的信息: manage-account -D "cn=manager" -w ts get-all --targetDN "uid=wcadmin,ou=people,cn=AdministrativeLdap,cn=Windchill_11.2,o=ptc"
Password Policy DN: cn=Default Password Policy,cn=Password Policies,cn=config Account Is Disabled: false Account Expiration Time: Seconds Until Account Expiration: Password Changed Time: 20190607070745.945Z Password Expiration Warned Time: Seconds Until Password Expiration: Seconds Until Password Expiration Warning: Authentication Failure Times: Seconds Until Authentication Failure Unlock: Remaining Authentication Failure Count: 5 Last Login Time: Seconds Until Idle Account Lockout: Password Is Reset: false Seconds Until Password Reset Lockout: Grace Login Use Times: Remaining Grace Login Count: 0 Password Changed by Required Time: Seconds Until Required Change Time: Password History: -
显示用户状态信息: manage-account -D "cn=manager" -w ts get-account-is-disabled --targetDN "uid=wcadmin,ou=people,cn=AdministrativeLdap,cn=Windchill_11.2,o=ptc"
Account Is Disabled: false -
禁用/启用账户
- 禁用账户:manage-account -h localhost -p 4444 -D "cn=Manager" -w ts -X set-account-is-disabled --operationValue true --targetDN "uid=kongwusun,ou=people,cn=AdministrativeLdap,cn=Windchill_11.2,o=ptc"
- 启用账户:manage-account -h localhost -p 4444 -D "cn=Manager" -w ts clear-account-is-disabled --targetDN "uid=kongwushun,ou=people,cn=AdministrativeLdap,cn=Windchill_10.0,o=ptc"
性能
可以快速查看 <install-dir>/logs:
BIND RES conn=5 op=2 msgID=23 result=0 authDN="uid=wcadmin,ou=people,cn=AdministrativeLdap,cn=Windchill_11.2,o=ptc" etime=0
其中,etime 的值默认以毫秒(milliseconds)为单位,表示服务器处理请求的时间。过大的 etime 通常暗示服务器存在性能问题。
如果需要调整 LDAP 的 JVM运行参数,可以编辑 <install-dir>/config/java.properties, 然后使用 dsjavaproperties 命令使设置生效。具体示例可参考这里。
其他需要考虑的性能调优因素可以参考官方文档。
LDAP 浏览器
LDAP 浏览器可以连接到 LDAP 服务器,让我们可以方便的查看、搜索、编辑 LDAP 内容。JXplorer 就是这样一款免费的开源浏览器。当然,有很多其他的 LDAP 浏览器,大家可以自行下载尝试。
