LDAP apacheds解决方案

Apache DS 配置与管理

 

LADP基本介绍

LDAP（轻量级目录访问协议）以目录的形式来管理资源（域用户，用户组，地址簿，邮件用户，打印机等等）。

 

特点：

1. LDAP是一种网略协议而不是数据库，而且LDAP的目录不是关系型的，没有RDBMS那么复杂，LDAP不支持数据库的Transaction机制，纯粹的无状态，请求-响应的工作模式。

2. LDAP不能存储BOLB,LDAP的读写操作是非对称的，读的方便，写的比较麻烦，LDAP支持复杂的查询过滤器。

3. LDAP使用树状结构，接近于公司组织结构，文件目录结构，域名结构等。

4. LDAP使用简单，接口标准，并支持SSL访问。

用途：

信息安全类：数字证书管理，授权管理，单点登陆

科学计算类：DCE(分布式计算环境)，UDDI(统一描述，发现和集成协议)

网络资源管理类：MAIL系统，DNS系统，网络用户管理，电话号码簿。

电子政府资源管理类：内网组织信息服务，电子政务目录体系，人口基础库，法人基础库。

结构：

一颗目录信息树有若干条目（Entry）组成，每一个条目有唯一的标识名DN(Distingushed Name),条目可以用来描述用户账号，打印机和计算机等对象。一个条目是一个对象，每个条目有多个属性（Attribute）组成，每一属性有一个类型和一个到多个值组成，每个属性可以对应一个或多个值（Value）；

在LDAP中，对象类，属性类型，语法和匹配规则统称为模式（schema），用来确定目录能存储的内容以及服务器和客户端在进行目录操作时如何对待数据。

构成schema的元素有

属性类型（attribute types）

对象类（obejct classes）

语法（syntaxes）

匹配规则（matching rules）

目录信息树内容规则（DIT content rules）

目录信息树结构规则（DIT structural rules）

命名形式（name forms）

Schema被各个LDAP组件包括服务器，客户端，应用程序，用来作为数据交换的标准，以保证对数据理解的正确性，从而保证了LDAP协议的开放性

schema也被用来作为目录中存储的数据的长度，范围和格式的强制约束，也用于目录中数据的规整和对访问者权限的控制。

 

 

安全认证：

LDAP定义了三种安全等级可供选择，其安全性依次增加：

1. 无认证（匿名）

2. 基本认证（简单密码）

3. SSL/TLS安全套接字层：安全套接字层可提高认证和数据的安全性，包括完整性和保密性，它封装了TCP/IP套接字，以便于每一个TCP/IP应用都能够使用它保证通讯的安全。

 

Apache DS配置与管理

在Apache DS里创建了一个server后，点击打开，出现的配置界面如下：这里默认的LDAP的服务器端口为10389，默认允许匿名连接，默认没有开启Kerberos认证，在里面已经自动创建了两个分区（partition）. 此外我们还可以设置密码的构成以及分区策略。

 

Apache DS connection管理与操作实例

在启动Apache DS Server后，即可建立连接。

注：Apache DS默认的端口为10389，OpenLDAP的默认端口为389；

新建连接

1. 创建连接，设置连接地址，端口，连接加密方式，连接接口方式。

2. 设置登录的方式

3. 设置LDAP树的基本信息及浏览方式

4. 设置条目生成操作的默认属性