开发者社区> 一笔带过> 正文

LDAP轻型目录访问协议介绍及应用

简介: 本文对LDAP相关概念进行说明,介绍适用场景和使用方法。
+关注继续查看

LDAP不难,难的是资料太少,尤其是原理和应用方面的,以安装介绍居多。这也是我写这篇博客的原因。

LDAP(英文:Lightweight Directory Access Protocol,缩写:LDAP,/ˈɛldæp/)即轻型目录访问协议。LDAP由互联网工程任务组(IETF)的文档RFC定义,使用了描述语言ASN.1定义,前生是DAP,但是DAP过于复杂。据说LDAP的出现是源于互联网庞大的邮箱地址目录。

LDAP最大的好处就是他是一个协议,一个为多数软件用来作为登录鉴权的标准。在你为各个系统诸多用户名和密码而烦恼的时候,正是LDAP登场的时候。支持LDAP的软件都有哪些呢?
支持LDAP认证的软件产品(包括但不限于):zabbix、grafana、jenkins、nginx、apache等。

典型的系统访问如下:
ldap_stds_1

LDAP既然是协议,自然要定义一堆的概念。概括的讲LDAP 是一个条目树。条目是有一或者多个 objectClass 组成,objectClass是由一或者多个属性(Attributes)组成,属性即key-value键值对组成。形成一个树形结构。其中每个属性和objectClass名称都是唯一的。说了这么多,不如一张图来的直观。

ldap_dit

概念解释:
Schemas:一组objectClass,前人提供了很多Schemas适用于不同业务场景适用。
objectClass:属性集合。
Attributes:属性。
常见属性如下:
DN:唯一名称标识,各级DN组成当前目录的唯一ID。
CN:名称属性。
OU:组织。
LDAP中的属性都是按照描述语言ASN.1定义,以上是开放环境认可的属性(未一一列出)。引入LDAP的数据导入导出文件.ldif文件表示如下:

dn: cn=Robert Smith,ou=people,dc=example,dc=com
objectclass: inetOrgPerson
cn: Robert Smith
cn: Robert
sn: Smith
uid: rsmith
mail: robert@example.com
mail: r.smith@example.com
ou: sales

目录树如图:
dit_layout_1

以上是LDAP的概念介绍,下面讲LDAP协议的具体实现。主要有windows下的Microsoft出品Active Directory(不在介绍范围),还有一个就是linux环境下的OpenLDAP。LDAP被设计成解决读多写少的目录型数据访问权限控制,如果地址簿,组织关系等。OpenLDAP同样也提供了主从复制的高可用方案。数据也可以分布式存储在不同的LDAP节点,通过配置关联,完成跨节点的查询。
很多人喜欢拿LDAP和数据库类比,或者说LDAP是另外一种数据库。LDAP的协议规定了数据的导入导出格式即LDIF文件,但是对于数据存储却无限制。通常LDAP的数据存储会用到其他关系数据库,如OpenLDAP就可以用Berkeley DB存储数据。OpenLDAP是提供了管理目录数据的服务的软件产品,多数场景用来做统一登录认证。
OpenLDAP支持各种对目录数据访问的控制,即access规则:

access to <what> [ by <who> [<accesslevel>] [<control>] ]+

还有一种on line写法

olcAccess: to <what> [ by <who> [<accesslevel>] [<control>] ]+

olcAccess是on line configuration,能提供在线修改配置而不需要重启LDAP服务(不在本文介绍)。

示例:

access to  *
       by  self write
       by  anonymous auth
       by  * read

含义:针对整个目录树(*),目录用户本身有写的权限,匿名用户可以用来登录认证,所有人可读(如果开放匿名用户的话)。权限设置不正确会直接导致登录认证功能失败。OpenLDAP提供了非常丰富的access控制,详见:http://www.zytrax.com/books/ldap/ch6/#access

LDAP定义了几种数据的操作方法:
bind, add, modify, delete,search。一般需要先进行bind即认证操作,认证通过后进行其他如add或search操作。LDAP官网有详细的request和response定义。

LDAP有自己的查询语法定义,各种filter。

如下示例一种java语言的spring提供的LdapTemplate提供的认证方式:

ldapTemplate.authenticate(LdapQueryBuilder.query().where("cn").is(req.getUsername()), newPassword);

OpenLDAP安装参见官网:https://www.openldap.org/doc/admin24/quickstart.html

参考网站:
http://www.zytrax.com/books/ldap/
http://www.openldap.org/
https://ldap.com/

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
HaaS EDU场景式应用整体介绍
HaaS EDU K1是HaaS家族中针对教育场景推出的、集众多传感器于一身的嵌入式教育开发板,是学习物联网相关技术的最好载体。
169 0
HTTP协议请求方式: 中GET、POST和HEAD的介绍
<span style="color:rgb(51,51,51); font-family:微软雅黑,Helvetica,Times,Arial,serif; font-size:14px; line-height:21px">      HTTP是Web协议集中的重要协议,它是从客户机/服务器模型发展起来的。客户机/服务器是运行一对相互通信的程序,客户与服务器连接时,首先,向服务 器提出
2802 0
《区块链DAPP开发入门、代码实现、场景应用》笔记4——Ethereum Wallet中部署合约
账号创建完成之后,账号余额是0,但是部署合约是需要消耗GAS的,因此需要获取一定的以太币才能够继续本次实现。
1594 0
JavaScript轻应用UI介绍
本文档在此基础上介绍下轻应用UI是如何开发的。与前者相比,从应用代码的文件结构看,需要增加页面文件,并在全局配置中增加页面路径相关的信息即可。
129 0
Apache设置禁止访问网站目录(目录列表显示文件)
默认apache在当前目录下没有index.html入口就会显示目录。让目录暴露在外面是非常危险的事,如下操作禁止apache显示目录,希望文章对各位有帮助。 进入apache的配置文件 httpd.conf 找到:  代码如下 复制代码 Options Indexes FollowSymLinks 修改为: Options FollowSymLinks 其实就是将Indexes去掉,Indexes表示若当前目录没有index.html就会显示目录结构。
975 0
+关注
7
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载