《ldap基础培训资料》由会员分享,可在线阅读,更多相关《ldap基础培训资料(60页珍藏版)》请在金锄头文库上搜索。
1、浪潮软件技术培训,LDAP基础,-浪潮软件 李向阳,目录,LDAP简介 LDAP主要产品 JNDI简介 LDAP基本模型 LDAP目录设计,LDAP简介,什么是目录服务? 目录服务就是按照树状信息组织模式,实现信息管理和服务接口的一种方法。目录服务系统一般由两部分组成。第一部分是数据库,一种分布式的数据库,且拥有一个描述数据的规划;第二部分则是访问和处理数据库有关详细的访问协议。,LDAP简介,目录服务与关系数据库的区别: 目录不支持批量更新所需要的事务处理功能,目录一般只执行简单的更新操作,适合于进行大量数据的检索 目录具有广泛复制信息的能力,从而在缩短响应时间的同时,提高了可用性和可靠性。
2、,LDAP简介,什么是LDAP? LDAP的英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。 它是基于X.500标准的,但是简单多了并且可以根据需要定制。 与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。 LDAP标准的规范是以一系列RFC的形式编排的。,LDAP简介,LDAP目录是数据库吗? LDAP根本不是数据库而是用来访问存储在信息目录(也就是LDAP目录)中的信息的协议。 LDAP目录也是一种类型的数据库,但是不是关系型数据库。 LDAP主要是优化数据读取的性能。 LDAP服务器也是用来处理查询和
3、更新LDAP目录。 LDAP目录或数据库的结构与 UNIX 文件系统非常相似,数据按层次存储。,LDAP简介,什么时候该用LDAP存储数据? 需要在任何平台上都能读取数据吗? 是否有很多计算机或应用访问这些数据? 每一个单独的记录项是不是每一天都只有很少的改变? 可以把数据存在平面数据库而不是关系型数据库中吗?换句话来说,把所有东西都存在一个记录中。,LDAP简介,LDAP V3协议 RFC2251:LDAP V3核心协议,定义了LDAP V3协议的基本模型和基本操作 RFC2252:定义了LDAP V3中的基本数据模式(Schema)(包括语法、匹配规则、属性类型和对象类) RFC2253:
4、定义了LDAP V3中的分辨名(DN)表达方式 RFC2254:定义了LDAP V3中的过滤器的表达方式 RFC2255: LDAP统一资源地址的格式 RFC2256:在LDAP V3中使用X.500的Schema列表 RFC2820:LDAP访问控制需求 RFC2829:定义了LDAP V3中的认证方式 RFC2830:定义了如何通过扩展使用TLS服务 RFC2847:定义了LDAP数据导入、导出文件接口LDIF,LDAP简介,LDAP优势 LDAP 协议既是跨平台的也是基于标准的。这意味着几乎在任何计算机平台上运行的任何应用程序都可以从 LDAP 目录获取信息。 LDAP 目录几乎可以存储
5、所有类型的数据。如果需要专门的组织单元或项,则可以根据具体实现来定制控制给定字段可以保存哪种信息的规则。 大多数 LDAP 服务器的安装和配置相对比较简单,并且可以在很少或没有维护的情况下运行多年,而且很容易为特定类型的访问而进行最优化。,LDAP简介,可以容易地配置 LDAP 目录来复制部分或所有目录树(使用推(push)或拉(pull)方法)。 可以通过 ACL(访问控制表,Access Control List)来控制对目录的访问。,LDAP产品,主要LDAP产品: IBM Directory Server(Tivoli、Domino、SecureWay) Microsoft Activ
6、e Directory Netscape Directory Server Sun ONE Directory Server OpenLDAP Novell NDS,LDAP产品,IBM Tivoli Directory Server安装 DB2安装:DB2-win-v8.1setup.exe ITDS安装:itds520-windows-usismpsetup.exe,LDAP产品,LDAP产品,配置 目录配置 管理员dn/密码 配置数据库,LDAP产品,安装和配置之后 启动目录服务器 LDAP_HOME/bin/ibmslapd 启动应用程序服务器 LDAP_HOME/appsrv/bin
7、/startServer server1 停止应用程序服务器 LDAP_HOME/appsrv/bin/stopServer server1 启动Web管理工具 http:/localhost:9080/IDSWebApp/IDSjsp/Login.jsp,LDAP产品,Web管理工具 作为控制台管理员登陆到控制台 输入用户名superadmin密码secret 控制台管理-管理控制台服务器-添加服务器 作为服务器管理员登陆到控制台 选择LDAP主机名 输入服务器管理员DN密码(目录配置) 作为管理组成员或LDAP用户登录到控制台 选择LDAP主机名 输入服务器用户名和密码,JNDI简介,JN
8、DI概述 JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。命名服务将名称和对象联系起来,使得我们可以用名称访问对象。目录服务是一种命名服务,在这种服务里,对象不但有名称,还有属性。 JNDI为哪些协议提供了接口? JNDI本身独立于任何特定目录访问协议,单独的服务提供程序决定所支持的协议。IBM, Novell, Sun和WebLogic已经为JNDI提供了服务提供程序。,JNDI简介,JNDI与LDAP的关系 JNDI提供命名和目录的一个优良的面向对象的抽象。开发人员使用JND
9、I可以开发出使用LDAP或其他访问协议的查询来检索结果;但是他们并不局限于 LDAP,也不是必须开发与LDAP相关的应用程序。 JNDI支持LDAP v3中的关键功能。 JNDI与Netscape的Java LDAP API的关系 Netscape的API是特定于LDAP的。它用于对LDAP目录的低级别访问。它暴露应用程序一般不需要知道的协议细节。 JNDI是Java程序的一个普通目录API。大多数 Java 程序应该使用JNDI来访问目录。需要在协议级别处理目录内容的应用程序可能会选择使用 Netscape 的API。,JNDI简介,JNDI API由5个包组成 javax.naming:包
10、含了访问命名服务的类和接口。 javax.naming.directory:对命名包的扩充,提供了访问目录服务的类和接口。 javax.naming.event:提供了对访问命名和目录服务时的事件通知的支持。 javax.naming.ldap:这个包提供了对LDAP 版本3扩充的操作和控制的支持,通用包javax.naming. directory没有包含这些操作和控制。 Javax.naming.spi:这个包是为有兴趣创建服务提供者的开发者提供的,JNDI简介,两个例子 JNDI访问文件系统:Lookup.java JNDI访问LDAP:Getattr.java,LDAP基本模型,LDA
11、P四种基本模型 信息模型 命名模型 功能模型 安全模型,信息模型,定义能够在目录中存储的数据类型和基本的信息单位。 目录以树状的层次结构来存储数据。 目录的基本信息单元是条目(entry)即关于对象的信息集合。 条目由属性集合组成,每个属性说明对象的一个特征。每个属性有一个类型和一个或多个值。 属性类型说明包含在此属性中的信息的类型,而值包含实际的数据。,信息模型,信息模型,基准DN: LDAP目录树的最顶部就是根,也就是所谓的“基准DN”。 基准DN通常使用的两种格式 o=:用公司的域名作为基准DN。 dc=foobar, dc=com:以DNS域名为基础,把域名分成两部分。,信息模型,LD
12、IF 用文本格式表示目录的标准方式,可以用来从目录服务器导出数据或者向目录服务器导入数据 一个LDIF条目由多行组成。第一行以dn:开始,后跟条目的分辨名。随后是条目的属性,每个属性一行。每个属性值前面是属性类型和冒号(:)。 属性值的顺序无关紧要,但是为了使它更容易读,一般把objectClass属性放在第一个,并且把相同的属性类型的值放在一起。 tutorial.ldif,信息模型,导入LDIF文件 目录配置-添加后缀(o=JNDITutorial) Web管理工具-目录管理-添加条目 结构对象类(organization) 相对DN(o=JNDITutorial) 目录配置-导入LDIF
13、文件(tutorial.ldif),信息模型,Schema概述 Schema is the collection of attribute type definitions, object class definitions and other information which a server uses to determine how to match a filter or attribute value assertion(in a compare operation) against the attributes of an entry, and whether to permit
14、 add and modify operations.,信息模型,Object Classes 三种类型 结构类用来定义DIT的结构。只有结构类能独立定义条目。条目一经定义,其结构类不能改变。 结构类不能继承自辅助类。 辅助类用来增加条目的特性。通常被用来增加条目的必须和可选属性。辅助类不能继承自结构类。每个条目可以属于任意数量的辅助类。条目的辅助类可以在任何时候改变。 抽象类提供基础特性以供其它对象类继承。抽象类只能继承自抽象类。结构类都是直接或间接继承自抽象类top。辅助类可以没有父类。单独的抽象类不能定义条目。,信息模型,the mandatory and optional attrib
15、utes:,信息模型,Adding a New Object Class AddObjectClass.java Deleting an Object Class DeleteObjectClass.java,信息模型,Attribute Type An attribute type definition specifies the attributes syntax and how attributes of that type are compared and sorted. the mandatory and optional attributes:,信息模型,信息模型,Adding a
16、 New Attribute Type Definition AddAttributeDefn.java Deleting an Attribute Type Definition DeleteAttributeDefn.java,信息模型,Attribute Syntax An attributes syntax specifies the representation of the attributes values Most servers support a fixed set of syntaxes. Changing that set programmatically is usually not a supported feature. the mandatory and optional attributes:,信息模型,Attribute Matching Rule A matching rule specifies how attribute values are to be matched for
