LDAP 基本觀念與架構

LDAP 基 本 觀 念 與 架 構

大 綱
● LDAP 是 什 麼 ?
●
●
LDAP 的 用 途
LDAP 的 基 本 架 構

LDAP 是 什 麼
● LDAP 全 名 Lightweight Directory Access Protocol
●
為 輕 量 級 通 訊 協 定 ( 使 用 TCP/IP 及 精 簡 的 核 心 操 作 )
●
為 一 種 名 錄 服 務

LDAP 的 用 途
●
將 分 散 資 料 統 合 一 處 ( 如 個 人 資 料 , 伺 服 器 資 訊 )
●
●
●
便 於 組 織 資 料 管 理
可 與 許 多 應 用 軟 體 整 合 應 用
對 於 資 料 的 存 取 具 有 權 限 保 護

LDAP 與 其 它 服 務 的 不 同
●
●
●
●
與 資 料 庫 比 較 ,LDAP 為 讀 取 遠 大 於 寫 入
資 料 庫 則 是 讀 取 與 寫 入 相 當
與 檔 案 系 統 比 較 ,LDAP 僅 儲 存 很 小 的 訊 息
檔 案 系 統 則 是 適 合 儲 存 較 複 雜 的 訊 息
與 WEB 比 較 ,LDAP 並 不 適 合 用 來 存 取 如 JPEG 圖 檔
且 WEB 為 較 複 雜 的 平 台
與 DNS 比 較 , 兩 者 功 能 類 似 , 但 LDAP 為 一 般 用 途
而 DNS 專 門 處 理 IP 查 詢

LDAP 模 型
●
●
●
●
資 訊 模 型 (information model)
entry 為 構 成 LDAP 元 素 的 基 本 單 位
entry 擁 有 objectClass( 物 件 類 別 ) 以 及 相 對 應 的 instance
命 名 模 型 (Naming model)
使 用 相 對 識 別 名 稱 (relative distinguished name,RDN), 再 由 RDN
構 成 DN
功 能 模 型 (Functional model)
定 義 操 作 的 方 法
安 全 模 型 (Security model)
提 供 認 證 機 制 及 ACL (access control list)

LDIF(LDAP Interchange Format)
●
●
●
用 來 儲 存 LDAP 組 態 資 訊 及 名 錄 內 容 的 標 準 文 字 檔 格 式
匯 集 多 筆 項 目
包 含 了 屬 性 與 值 的 對 應 關 係
●
匯 集 了 多 道 指 令 ( 如 新 增 , 刪 除 , 修 改 )
●
必 須 遵 照 綱 要 (schema)
LDIF 範 例
dn: dc=cc,dc=ncu
objectClass: domain
objectClass: top
dc: cc

識 別 名 稱 ( DN) 與 相 對 識 別 名 稱 (RDN)
●
●
RDN 可 由 一 或 多 屬 性 組 成
DN 為 由 特 定 結 點 到 根 結 點 的 RDN 所 組 成
可 想 像 DN 為 檔 案 的 完 整 路 徑
而 RDN 為 檔 案 的 相 對 路 徑

屬 性
●
●
●
●
類 似 程 式 語 言 中 的 變 數
可 以 同 時 存 有 多 個 值
屬 性 可 存 放 的 資 料 由 屬 性 所 定 的 比 對 規 則 決 定
每 個 entry 都 必 須 有 objectClass 屬 性
定 義 必 須 出 現 在 entry 中 的 屬 性

認 證
●
●
●
●
匿 名 認 證
簡 易 認 證
明 碼 傳 送 帳 號 及 密 碼
使 用 SSL/TLS 的 簡 易 認 證
SSL 使 用 TCP/636 LDAPS 傳 送
TLS 使 用 TCP/389 LDAP 為 延 申 操 作
SASL
為 連 線 式 通 訊 協 定 進 行 額 外 認 證