LDAP-轻量级目录访问协议

目录服务

目录是一类为了浏览和搜索数据而设计的特殊的数据库。目录服务是按照树状形式存储信息的，目录包含基于属性的描述性信息，并且支持高级的过滤功能。
目录服务时候的业务应用是在于提供大量的查询和搜索操作，而不是大量的写入操作。
目录服务还提供了主从服务器同步目录数据信息的能力，最大限度的确保基于目录业务的服务持续的可用性与提供并发查询的能力。

LDAP(Lightweight Dierctory Access Protocol)

LDAP是一个轻量级的目录访问协议，特指基于X.500的目录访问协议的简化版本。LDAP运行在TCP/IP或者其他的面向连接的传输服务上。

目录服务的两个国际标准分别是X.500和LDAP。
LDAP是目录服务的子集。
LDAP是基于TCP/IP的目录访问协议，是Ineternet上目录服务的通用访问协议。
LDAP可以说是(微软active directory)活动目录在linux上的一个开源实现。

LDAP基本概念中的常用名词缩写和含义

LDAP目录服务的特点

• 跨平台的、标准的协议
• 结构用树形结构表示，不需要用SQL语句维护
• 提供了静态数据的快速查询方式，但更新数据方面并不擅长
• (opeanldap)支持主从同步的能力
• LDAP v3支持SASL(Simple Authentication and Security Layer)、SSL(Security Socket Layer)和TLS(Transport Layer Security)三种认证方式。
• 提供了不同层次的访问控制，以限制不同用户的访问权限
• LDAP支持异类数据存储，存储的数据可以是文本资料、二进制图片等
• Clinet/Server模型，Server端用户存储树，Client端提供操作目录树的工具，通过这些工具，我们可以将数据库的内容以文本格式(LDIF-LDAP数据交换格式)
• LDAP支持TCP/IP，可以在互联网上应用(既可以分布式部署)

LDAP的目录结构

LDAP是通过目录数据库来存储网络信息来提供目录服务的。为了方便用户迅速查找和定位信息，目录数据库是以目录信息树(Directory information Tree,缩写我DIT)为存储方式的树型存储结构。目录信息树及其相关概念构成了LDAP协议的信息模型。

DIT是一个主要进行读操作的数据库。
DIT由条目(Entry)组成，相当于关系型数据库中的表的记录。

条目是具有分辨名DN(Distinguished Name)的属性-值(Attribute-value,简称AV)的集合。

DN-Distinguished Name 分辨名。在LDAP中，一个条目的分辨名叫做“DN”,DN是该条目在整个书中的唯一标识，它是一个识别属性，通常用于检索。

DN的两种设置

• 基于cn姓名，cn=test,ou=auth,dc=etiantian,dc=org,最常见cn是从/etc/group转来的条目
• 基于uidUserID,uid=test,ou=auth,dc=etiantian,dc=org,最常见的是uid是/etc/passwd转来的条目

在UNIX文件系统中，最顶层是根目录(root),LDAP目录通常也用ROOT做根，通常成为BaseDN。

LDAP目录用OU(Organization Unit)从逻辑上把数据分开。OU的下面即是真正的用户条目(用户的信息:如用户名、密码)。

LDIF-Lightweight Data Information Format 轻量级数据信息格式，LDIF格式是用于LDAP数据导入、导出的格式。LDIF是LDAP数据库信息的一种文本格式。