1. LDAP简述

1.1. LDAP概念

• 轻型目录访问协议(Lightweight DIrectory Access Protocol),LDAP是一种通讯协议,LDAP能够支持TCP/IP。协议就是标准,在这套标准之下,AD(Active Directory)是微软实现的一套产品。可以把AD理解成是个的数据库,也有很多人直接把LDAP说成数据库(可以把LDAP理解成一种树形结构的数据库)。LDAP也是有服务端和客户端。服务端是用来存放资源,客户端用来进行增删改查等操作。
• LDAP的存储是树形结构的,数据存储在叶子节点上,因此LDAP的应用中主要使用其进行查询,插入等变更操作效率相对较低。看看下面的例子:

LDAP里定义一个记录的位置:树(dc=main) 分支(ou=o1,ou=oo1,ou=ooo1) 节点(cn=node)
dn:cn=main,ou=o1,ou=oo1,ou=ooo1,dc=node

• ou会有多个值,从树根到达node的位置,可能要经过好几个分支,所以ou可能有多个值,关于dn后面一长串,分别是cn,ou,dc;中间用逗号隔开。

LDAP 树形数据库如下:dn :一条记录的详细位置dc :一条记录所属区域 (哪棵树)ou :一条记录所属组织 (哪个分支)cn/uid:一条记录的名字/ID (哪个节点)LDAP 目录树的最顶部就是根,也就是所谓的 "基准DN"。

1.2. LDAP应用场景

• 由于使用树形结构存储数据,因此查询效率更高(参考关系型数据库索引的实现原理:B树/B+树)在某些特定的场景下,使用树形数据库更理想。例如:需要储存大量的数据,而且数据比较稳定,不需要太频繁的修改,可以满足快速的查找,与传统的关系型数据库相比,LDAP除了快速查找的特点,它还有很多的运用场景,比如域验证等。

1.3. LDAP常见目录树结构设计

• LDAP的目录树根一般定义为国家(c=CN)或者域名(dc=com),其次往往定义一个或者多个组织(organazation, o)或组织单元(oragnazation unit , ou),一个组织单元可以包含员工、设备(计算机/打印机)相关信息。

例如:uid=babs,ou=People,dc=example,dc=com.

假设域名为foobar.com,这个域名就能转化为这个DN:dc=foobar,dc=com

如果foobar.com与wocket.com和gizmo.com合并,则以上的目录结构就可以适应这种突然的变化,而无需重新规划,在dc=com下面添加dc=wocket和dc=gizmo两个条目即可。

初始目录结构设置的越好,后续扩展时需要改动的就越少,通常情况分布均匀层次较浅的结构工作的最好

2. LADP做统一认证

统一身认证改变了原有的认证策略,需要进行认证的应用都通过LDAP进行统一认证,在统一认证之后,用户的所有信息都存储在AD Server中。终端用户在需要使用内部服务的时候,都需要通过AD服务器的认证。

上图中展示的架构是LDAP进行统一身份认证的一般配置情况,LDAP Client指各种需要身份认证的软件,例如Apache、Proftpd和Samba等。LDAP Sever指的是实现LDAP协议的软件,例如OpenLDAP等。DataStorage指的是OpenLDAP的数据存储,如关系型数据库(MySQL)或查询效率更高的嵌入式数据库(BerkeleyDB),甚至是平面文本数据库(—个txt的文本文件)。可见,OpenLDAP软件只是LDAP协议的一种实现形式,并不包括后台数据库存储。但在很多时候管理员经常将LDAP Server和DataStorage放在同一台服务器,这样就产生了人们通常所说的“LDAP数据库”。虽然后台数据库(backend)可以是多种多样,但LDAP协议还规定了数据的树状存储方式,与DNS类似。