本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第1章,第1.2节,作者:郭大勇著,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.2 OpenLDAP目录架构
1.2.1 OpenLDAP目录架构介绍
目前OpenLDAP目录架构分为两种:一种为互联网命名组织架构;另一种为企业级命名组织架构。本节分别为介绍两种架构的用途,但本书主要以企业级命名组织架构为核心进行阐述OpenLDAP内部逻辑结构、工作原理以及企业实践等相关知识。
1.2.2 互联网命名组织架构
LDAP的目录信息是以树形结构进行存储的,在树根一般定义国家(c=CN)或者域名(dc=com),其次往往定义一个或多个组织(organization,o)或组织单元(organization unit,ou)。一个组织单元可以包含员工、设备信息(计算机/打印机等)相关信息。例如uid=babs,ou=People,dc=example,dc=com,如图1-2所示。
1.2.3 企业级命名组织架构
企业级命名组织架构的示例如图1-3所示。
1.2.4 OpenLDAP的系统架构
OpenLDAP目前是一款开源账号集中管理软件,且属于C/S架构(见图1-4)。通过配置服务器和客户端,实现账号的管理,并通过与第三方应用相结合,实现客户端所有账号均可通过服务端进行验证,例如Samba、Apache、Zabbix、FTP、Postfix、EMC存储以及系统登录验证并授权。
1.2.5 OpenLDAP的工作模型
OpenLDAP的工作模型如图1-5所示。
OpenLDAP工作模型解释如下:
客户端向OpenLDAP服务器发起验证请求;
服务器接收用户请求后,并通过slapd进程向后端的数据库进行查询;
slapd将查询的结果返回给客户端即可。如果有缓存机制,服务器端会先将查询的条目进行缓存,然后再发给客户端。
