认识LDAP协议

LDAP

　　LDAP是Lightweight Directory Access Protocol的缩写，顾名思义，它是指轻量级目录访问协议（这个主要是相对另一目录访问协议X.500而言的；LDAP略去了x.500中许多不太常用的功能，且以TCP/IP协议为基础）。目录服务和数据库很类似，但又有着很大的不同之处。数据库设计为方便读写，但目录服务专门进行了读优化的设计，因此不太适合于经常有写操作的数据存储。同时，LDAP只是一个协议，它没有涉及到如何存储这些信息，因此还需要一个后端数据库组件来实现。这些后端可以 是bdb(BerkeleyDB)、ldbm、shell和passwd等。

　　LDAP目录的条目（entry）由属性（attribute）的一个聚集组成，并由一个唯一性的名字引用，即专有名称（distinguished name，DN）。例如，DN能取这样的值：“ou=people,dc=wikipedia,dc=org”。

         dc=org

      |dc=wikipedia
       /          \
 ou=people     ou=groups

　

　　LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN（Distinguished Name）,其处在“叶子”位置的部分称作RDN；如dn:cn=tom,ou=animals,dc=mydomain,dc=org中tom即为 RDN；RDN在一个OU中必须是唯一的。

　　LDAP 协议既是跨平台的也是基于标准的。这意味着几乎在任何计算机平台上运行的任何应用程序都可以从LDAP目录获取信息。另外，无论什么服务器操作系统、文件系统或平台对于客户机都是无关紧要的。
　　LDAP目录几乎可以存储所有类型的数据：电子邮件地址、DNS 信息、NIS 映射、安全性密钥、联系人信息列表和计算机名等。如果需要专门的组织单元或项，则可以根据具体实现来定制控制给定字段可以保存哪种信息的规则。

大多数 LDAP 服务器的安装和配置相对比较简单，并且可以在很少或没有维护的情况下运行多年，而且很容易为特定类型的访问而进行最优化。

　　可以容易地配置 LDAP 目录来复制部分或所有目录树（使用推(push)或拉(pull)方法）。这可以使系统管理员不必担心出现单点故障的情况。

　　可以通过 ACL（访问控制表，Access Control List）来控制对目录的访问。例如，管理员可以根据给定组或位置中的成员资格来限制谁可以看到哪些内容，或者给予特殊用户在其自己记录中修改所选字段的能力。ACL 提供极其细粒度的访问控制，而且 ACL 将这种控制与 LDAP 安装结合在一起，而不是与请求信息的客户机结合在一起。此外，可以容易地将 LDAP 与大多数现有的安全性层和／或认证系统（例如 SSL、Kerberos 和 PAM 等）集成在一起。