目录
一、前言
二、什么是LDAP?
2.1 什么是目录服务?
2.2 LDAP的介绍
2.3 为什么要使用LDAP
三、LDAP的主要产品线
四、LDAP的基本模型
4.1 目录树概念
4.2 LDAP常用关键字列表
4.3 objectClass介绍
五、JXplorer工具使用
一、前言
对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使用案例”四个方面来做一个介绍。
我们在开始介绍之前先来看几个问题:
- 我们日常的办公系统是不是有多个,比如OA,财务,jira,gitlab等等
- 多个系统之间是不是都有独立的账号密码,密码多了,有时候半天想不起来哪个密码对应哪个系统?
- 每次新项目的开发,都需要重新开发和维护一套用户密码?
- 维护多套系统的用户是不是非常煎熬?
“LDAP统一认证服务”已经帮助大家解决这些问题了。
二、什么是LDAP?
2.1 什么是目录服务?
1. 目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。
2. 是动态的,灵活的,易扩展的。
如:人员组织管理,电话簿,地址簿。
2.2 LDAP的介绍
LDAP(Lightweight Directory Access Portocol),它是基于X.500标准的轻量级目录访问协议。
目录是一个为查询、浏览和搜索而优化的数据库,它呈树状结构组织数据,类似文件目录一样。
目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。
LDAP目录服务是由目录数据库和一套访问协议组成的系统。
2.3 为什么要使用LDAP
LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。可以大大降低重复开发和对接的成本。
三、LDAP的主要产品线
LDAP的中文全称是:轻量级目录访问协议(Lightweight Directory Access Protocol),说到底LDAP仅仅是一个访问协议,那么我们的数据究竟存储在什么地方呢?
如下是实现LDAP的产品:
| 厂商 | 产品 | 介绍 |
| SUN | SUNONE Directory Server | 基于文本数据库的存储,速度快 。 |
| IBM | IBM Directory Server | 基于DB2 的的数据库,速度一般。 |
| Novell | Novell Directory Server | 基于文本数据库的存储,速度快, 不常用到。 |
| Microsoft | Microsoft Active Directory | 基于WINDOWS系统用户,对大数据量处理速度一般,但维护容易,生态圈大,管理相对简单。 |
| Opensource | Opensource | OpenLDAP 开源的项目,速度很快,安全且灵活并已经被包含在众多流行的 |
以上产品就是正常存储数据的地方,而访问这些数据就是通过我们上述所说的LDAP协议。
四、LDAP的基本模型
每一个系统、协议都会有属于自己的数据模型,LDAP也不例外,我们先了解几个LDAP的目录树概念:
4.1 目录树概念
1. 目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。
2. 条目:entry可以被称为条目,一个entry就是一条记录,是LDAP中一个基本的存储单元;也可以被看作是一个DN和一组属性的集合。注意,一条entry可以包含多个objectClass,例如李四可以存在于“电话薄”中,也可以同时存在于“同学录”中。每个条目有自己的唯一可区别的名称(DN)。
3. 对象类:与某个实体类型对应的一组属性,对象类是可以继承的,这样父类的必须属性也会被继承下来。
4. 属性:Attribute描述条目的某个方面的信息,一个属性由一个属性类型和一个或多个属性值组成,属性有必须属性和非必须属性。每个条目都可以有很多属性(Attribute),比如常见的人都有姓名、地址、电话等属性.每个属性都有名称及对应的值,属性值可以有单个、多个,比如你有多个邮箱.
4.2 LDAP常用关键字列表
LDAP通过属性objectClass来控制哪一个属性必须出现或允许出现在一个条目中,它的值决定了该条目必须遵守的模式规则。DC、UID、OU、CN、SN、DN、RDN。
| 关键字 | 英文全称 | 含义 |
| dc | Domain Component | 域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
| uid | User Id | 用户ID songtao.xu(一条记录的ID) |
| ou | Organization Unit | 组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
| cn | Common Name | 公共名称,如“Thomas Johansson”(一条记录的名称) |
| sn | Surname | 姓,如“许” |
| dn | Distinguished Name | 专有名称,“uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
| rdn | Relative dn | 相对专有名称,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” |
4.3 objectClass介绍
LDAP中,一个条目(Entry)必须包含一个对象类(objectClass)属性,且需要赋予至少一个值。每一个值将用作一条LDAP条目进行数据存储的模板;模板中包含了一个条目必须被赋值的属性和可选的属性。
objectClass有着严格的等级之分,最顶层是top和alias。例如,organizationalPerson这个objectClass就隶属于person,而person又隶属于top。
objectClass可分为以下3类:
- 结构型(Structural):如account、inetOrgPerson、person和organizationUnit;
- 辅助型(Auxiliary):如extensibeObject;
- 抽象型(Abstract):如top,抽象型的objectClass不能直接使用。
比如我们有一种叫“电话薄”的objectClass,肯定会内置很多属性(attributes),如姓名(uid),身份证号(uidNumber),单位名称(gid),家庭地址(homeDirectory)等,这些属性(attributes)中,有些是必填的,例如,account就要求userid是必填项,而inetOrgPerson则要求cn(common name,常用名称)和sn(sure name,真实名称)是必填项。
五、JXplorer工具使用
官方地址:JXplorer - an open source LDAP browser
下载完成,双击安装
下一步
下一步
输入安装路径
下一步
安装完成
安装完成后 配置连接
如下图所示,几个比较重要的信息如下:
- 主机:192.168.2.75(这里也可以直接输入IP地址,根据的你环境输入相应的主机名称即可)
- 端口:33389(这个端口可以在ldap服务端使用netstat名称查看)
- 协定:LDAP v3
- 基底DN:dc=hadoop,dc=apache,dc=org
- 层次:用户 + 密码
- 使用者DN:uid=admin,ou=people,dc=hadoop,dc=apache,dc=org
- 密码:admin-password
使用模板:点击存储自定义一个名称即可,下次可以直接选中这个模板链接对应的目录结构。
组织
如下图是admin用户
也可以用工具编辑属性
参考文档
LDAP概念和原理介绍:LDAP概念和原理介绍 - WilburXu - 博客园
LDAP介绍及使用:LDAP介绍及使用-CSDN博客
LDAP认证: LDAP认证-CSDN博客
Hadoop生态圈-Knox网关的应用案例:
Hadoop生态圈-Knox网关的应用案例 - 尹正杰 - 博客园
