LDAP 技术总结(本文档由廖武锋编写).pdf

LDAP 技术总结 （本文档由廖武锋编写） 第一章 LDAP 有关技术介绍 第一节 X.500 目录服务 OSL X.500 目录是基于 OSI 网络协议的目录服务协议，也是 LDAP 的前身。但是 X.500 的缺点是不支持 TCP/IP，而是支持 OSI 协议， 显然，在 Windows 等个人电脑上不可以使用 OSI 协议，在此前提下， 也就产生了访问 X.500 目录的网关－LDAP。 第二节 什么是 LDAP？ LDAP 英文全称是 Light Weight Directory Access Protocol， 一般都简称为 LDAP。它是基于 X.500 标准的，但是简单多了并且可 以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet 是必须的。LDAP 的核心规范在 RFC 中都有定义，所有与 LDAP 相关的 RFC 都可以在 LDAPman RFC 网页中找到。现在 LDAP 技术不仅发展得 很快而且也是激动人心的。在企业范围内实现 LDAP 可以让运行在几 乎所有计算机平台上的所有的应用程序从 LDAP 目录中获取信息。 LDAP 目录中可以存储各种类型的数据：电子邮件地址、邮件路由信 息、人力资源数据、公用密匙、联系人列表等等。通过把 LDAP 目录 作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息 的步骤，甚至连主要的数据源都可以放在任何地方。 第三节 Sun One Directory Server 目录服务 第四节 Windows Active Directory 活动目录 Active Directory (AD)是微软为.net 中的对象访问定义的目录 服务，包括目录服务本身，以及客户端 API（ADSI）。AD 并不是 LDAP 在.net 中的实现，而是 X.500 在.net 中的实现，但 AD 前端支持并 主要以 LDAP 形式进行访问。完整地说，AD 是基于微软自身定义的 X.500 扩展的一系列 Schema 实现的 X.500 目录服务及相关的访问控 制工具的集合，其前端支持 LDAP 的查询，目的是对.net 中涉及的所 有网络对象提供目录服务。各个 schema 在一个树森林中是唯一的。 普通的 LDAP 客户端工具与 AD 并不兼容。Windows2000 自带有一些 LDAP 客户端工具，包括 ldifde.exe，ldp.exe。并提供专门的 LDAP 程序接口ASDI。同时，可以在WINDOWS管理台上添加AD管理snap-in， 配合已有的 AD 基本管理工作。使用以上工具可以得到微软样式的详 情，但总的来说，Windows2000 原则上不鼓励用户在 AD 的基础上进 一步的开发，没有更多的开发资料。Windows2000 中，访问 AD 记录 的API被集成到了内核，服务于Windows2000从主机权限和对象管理， 直接网络的权限和对象管理，同时 API 细节没有对外公开。因此，某 种程度上，AD 是一个只对 Windows2000 有用的目录服务，AD 连同访 问 API，形成一个基于 X.500－LDAP 的孤岛，从一开始就没有打算与 其他厂商产品有兼容的余地，这也是微软的一贯风格。参考： /windows2000/en/server/help/default .asp?url=/windows2000/en/server/help/sag_ADschema_Intro.htm /library/default.asp?url=/library/ en-us/netdir/ad/schema_implementation.asp AD 在 Windows2000 中注册表中的位置是： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\ 使用 AD 时，用户可以自行在微软样式的基础上添加新的类和属性， 微软称这个就是 schema 的增添，这与 UNIX 环境下有一些不同，用户 余地较少。如果真的需要添加，可以使用按： /windows2000/techinfo/planning/acti vedirectory/adschemasteps.asp 的指示一步步做，也可以预先做好 ldif 文件，使用 ldifde.exe 一次 性地进行添加，效果是一样的。在默认的状