第13章 LDAP服务的配置与应用.ppt

第13章 LDAP服务的配置与应用 本章导读 目录服务概述 LDAP基础 LDAP服务的安装 初始化OpenLDAP phpLDAPadmin的安装 配置phpLDAPadmin 使用phpLDAPadmin管理目录树 LDAP服务的身份验证实例 13.1目录服务概述 X.500简介 LDAP简介 LDAP与X.500的比较 流行的目录服务产品 X.500简介 X.500由ITU-T和ISO定义，它实际上不是一个协议，它是由一个协议族组成 的，包括了从X.501到X.525等一系列非常完整的目录服务。 X.500主要具备以下特征。 ? 分散维护：运行X.500的每个站点只负责其本地目录部分，所以可以立即进行更新和维护操作。 ? 强大的有哪些信誉好的足球投注网站性能：X.500具有强大的有哪些信誉好的足球投注网站功能，支持用户建立的任意复杂查询。 ? 单一全局命名空间：类似于DNS，X.500为用户提供单一同性命名空间（Single Homogeneous Namespace）。与DNS相比，X.500的命名空间更灵活且易于扩展。 ? 结构化信息结构：X.500目录中定义了信息结构，允许本地扩展。 ? 基于标准的目录服务：由于X.500可以被用于建立一个基于标准的目录，因此在某种意义上，请求应用目录信息（电子邮件、资源自动分配器、特定目录工具）的应用程序就能访问重要且有价值的信息。 LDAP简介 LDAP是X.500标准中的目录访问协议DAP的一个子集，可用于建立 X.500目录。因此这两个目录服务技术标准有着许多的共同之处，即在 平台上，都实现了一个通用的平台结构，提供了一个操作系统和应用程 序需要的信息服务类型，可以被许多平台和应用程序接收和实现；在信 息模型上，都使用了项、对象类、属性等概念和模式来描述信息；在命 名空间方面，都使用了目录信息树结构和层次命名模型；在功能模型 上，都使用了相似的操作命令来管理目录信息；在认证框架方面，都可 以实现用户名称和密码，或者基于安全加密方式的认证机制；在灵活性 上，它们的目录规模都可大可小，大到全球目录树，小到只有一台目录 服务器；在分布性方面，目录信息都可以分布在多个目录服务器中，这 些服务器可以由各组织管理，既保证了目录信息总体结构的一致性，又 满足了分级管理的需要。 LDAP简介 LDAP具有下列特点： ? LDAP是一个跨平台的、标准的协议，得到了业界广泛的认可； ? LDAP服务器可以使用基于“推”或“拉”的技术，用简单的或基于安全证书的安全认证，复制部分或全部数据，既保证了数据的安全性，又提高了数据的访问效率； ? LDAP是一个安全的协议，LDAP v3支持SASL（Simple Authentication and Security Layer）、SSL（Secure Socket Layer）和TLS（Transport Layer Security），使用认证来确保事务的安全，另外，LDAP提供了不同层次的访问控制，以限制不同用户的访问权限； ? 支持异类数据存储，LDAP存储的数据可以是文本资料、二进制图片等； ? 大多数的LDAP服务器安装简单，也容易维护和优化。 LDAP简介 LDAP与X.500的比较 ? LDAP基于Internet协议，X.500基于OSI（开放式系统互联）协议，建立在应用层上的X.500目录访问协议DAP，需要在OSI会话层和表示层上进行许多的建立连接和包处理的任务，需要特殊的网络软件实现对网络的访问；LDAP则直接运行在更简单和更通用的TCP/IP或其他可靠的传输协议层上，避免了在OSI会话和表示层的开销，使连接的建立和包的处理更简单、更快，对于互联网和企业网应用更理想。 ? LDAP协议更为简单，LDAP继承了X.500最好的特性，同时去掉了它的复杂性。LDAP通过使用查找操作实现列表操作和读操作，另一方面省去了X.500中深奥的和很少使用的服务控制和安全特性，只保留常用的特性，简化了LDAP的实现。 ? LDAP通过引用机制实现分布式访问，X.500 DSA通过服务器之间的链操作实现分布式的访问，这样查询的压力集中于服务器端；而LDAP通过客户端API实现分布式操作（对于应用透明）平衡了负载。 ? LDAP实现具有低费用、易配置和易管理的特点。经过性能测试，LDAP比X.500具有更少的响应时间；LDAP提供了满足应用程序对目录服务所需求的特性。 流行的目录服务产品 1．NDS（Novell Directory Services） 2．Microsoft Active Directory（活动目录） 3．OpenLDAP 13.2LDAP基础 LDAP的4种基本模型 LDAP存储结构 LDAP的基本概念 规划目