LDAP轻型目录访问协议介绍及应用

简介: 本文对LDAP相关概念进行说明,介绍适用场景和使用方法。

LDAP不难,难的是资料太少,尤其是原理和应用方面的,以安装介绍居多。这也是我写这篇博客的原因。

LDAP(英文:Lightweight Directory Access Protocol,缩写:LDAP,/ˈɛldæp/)即轻型目录访问协议。LDAP由互联网工程任务组(IETF)的文档RFC定义,使用了描述语言ASN.1定义,前生是DAP,但是DAP过于复杂。据说LDAP的出现是源于互联网庞大的邮箱地址目录。

LDAP最大的好处就是他是一个协议,一个为多数软件用来作为登录鉴权的标准。在你为各个系统诸多用户名和密码而烦恼的时候,正是LDAP登场的时候。支持LDAP的软件都有哪些呢?
支持LDAP认证的软件产品(包括但不限于):zabbix、grafana、jenkins、nginx、apache等。

典型的系统访问如下:
ldap_stds_1

LDAP既然是协议,自然要定义一堆的概念。概括的讲LDAP 是一个条目树。条目是有一或者多个 objectClass 组成,objectClass是由一或者多个属性(Attributes)组成,属性即key-value键值对组成。形成一个树形结构。其中每个属性和objectClass名称都是唯一的。说了这么多,不如一张图来的直观。

ldap_dit

概念解释:
Schemas:一组objectClass,前人提供了很多Schemas适用于不同业务场景适用。
objectClass:属性集合。
Attributes:属性。
常见属性如下:
DN:唯一名称标识,各级DN组成当前目录的唯一ID。
CN:名称属性。
OU:组织。
LDAP中的属性都是按照描述语言ASN.1定义,以上是开放环境认可的属性(未一一列出)。引入LDAP的数据导入导出文件.ldif文件表示如下:

dn: cn=Robert Smith,ou=people,dc=example,dc=com
objectclass: inetOrgPerson
cn: Robert Smith
cn: Robert
sn: Smith
uid: rsmith
mail: robert@example.com
mail: r.smith@example.com
ou: sales

目录树如图:
dit_layout_1

以上是LDAP的概念介绍,下面讲LDAP协议的具体实现。主要有windows下的Microsoft出品Active Directory(不在介绍范围),还有一个就是linux环境下的OpenLDAP。LDAP被设计成解决读多写少的目录型数据访问权限控制,如果地址簿,组织关系等。OpenLDAP同样也提供了主从复制的高可用方案。数据也可以分布式存储在不同的LDAP节点,通过配置关联,完成跨节点的查询。
很多人喜欢拿LDAP和数据库类比,或者说LDAP是另外一种数据库。LDAP的协议规定了数据的导入导出格式即LDIF文件,但是对于数据存储却无限制。通常LDAP的数据存储会用到其他关系数据库,如OpenLDAP就可以用Berkeley DB存储数据。OpenLDAP是提供了管理目录数据的服务的软件产品,多数场景用来做统一登录认证。
OpenLDAP支持各种对目录数据访问的控制,即access规则:

access to <what> [ by <who> [<accesslevel>] [<control>] ]+

还有一种on line写法

olcAccess: to <what> [ by <who> [<accesslevel>] [<control>] ]+

olcAccess是on line configuration,能提供在线修改配置而不需要重启LDAP服务(不在本文介绍)。

示例:

access to  *
       by  self write
       by  anonymous auth
       by  * read

含义:针对整个目录树(*),目录用户本身有写的权限,匿名用户可以用来登录认证,所有人可读(如果开放匿名用户的话)。权限设置不正确会直接导致登录认证功能失败。OpenLDAP提供了非常丰富的access控制,详见:http://www.zytrax.com/books/ldap/ch6/#access

LDAP定义了几种数据的操作方法:
bind, add, modify, delete,search。一般需要先进行bind即认证操作,认证通过后进行其他如add或search操作。LDAP官网有详细的request和response定义。

LDAP有自己的查询语法定义,各种filter。

如下示例一种java语言的spring提供的LdapTemplate提供的认证方式:

ldapTemplate.authenticate(LdapQueryBuilder.query().where("cn").is(req.getUsername()), newPassword);

OpenLDAP安装参见官网:https://www.openldap.org/doc/admin24/quickstart.html

参考网站:
http://www.zytrax.com/books/ldap/
http://www.openldap.org/
https://ldap.com/

相关文章
|
3月前
|
监控 安全 关系型数据库
LDAP学习笔记之十:OpenLDAP 主机控制策略
LDAP学习笔记之十:OpenLDAP 主机控制策略
|
5月前
|
存储 Java API
LDAP:轻量级目录访问协议
LDAP:轻量级目录访问协议
127 0
|
6月前
|
监控 安全 测试技术
使用pyftpdlib组件实现FTP文件共享
使用pyftpdlib组件实现FTP文件共享
109 0
|
存储 API 网络安全
利用FreeNas创建WebDAV共享并实现ssl加密
利用FreeNas创建WebDAV共享并实现ssl加密
1337 1
利用FreeNas创建WebDAV共享并实现ssl加密
|
存储 前端开发 对象存储
如何基于云存储网关SMB共享搭建FileZilla FTP server
本文介绍在windows 环境下,如何利用云存储网关提供的SMB共享,使用FileZilla Server搭建FTP服务器来访问对象存储(OSS)中的资源。
2477 0
如何基于云存储网关SMB共享搭建FileZilla FTP server
|
网络安全 数据安全/隐私保护
Confluence 6 使用 LDAP 授权连接一个内部目录 - 服务器设置
名字(Name) 名字的描述将会帮助你在目录中识别。例如: Internal directory with LDAP Authentication Corporate LDAP for Authentication Only 目录类型(Directory Type) 选择你希望连接的 LDAP 目录类型。
1394 0
|
存储 数据安全/隐私保护
Confluence 6 使用 LDAP 授权连接一个内部目录概述
你可以为你的 Confluence 连接 LDAP 服务器使用使用委托认证。这个意思是 Confluence 将会设置一个内部目录,这个目录仅被用来处理 LDAP 的授权。
1002 0
|
网络协议
Confluence 6 使用 LDAP 授权连接一个内部目录 - 高级设置
ted Groups 为嵌套组启用或禁用支持。  一些目录服务器能够允许你在一个组中定义另外一个组。在这种结构下的用户组称为用户组嵌套。
1047 0
Confluence 6 使用 LDAP 授权连接到 Confluence 内部目录
希望连接一个内部目录但是使用 LDAP 检查登录授权: 在屏幕的右上角单击 控制台按钮 ,然后选择 General Configuration 链接。
1152 0
|
存储
Confluence 6 连接一个 LDAP 目录概述
你可以连接你的 Confluence 到一个 LDAP 目录服务器上,你可以通过连接的 LDAP 目录服务器为你的 Confluence 进行授权,用户和用户组管理。
1425 0