目錄服務(wù)器廠商參考

1、1.1.引言引言目錄服務(wù)是用于在全球范圍內(nèi)查找用戶和商業(yè)伙伴的強(qiáng)大的搜索工具。近幾年，隨著LDAP（LightDirectyAccessProtocol，輕量級(jí)目錄訪問協(xié)議）技術(shù)的興起和應(yīng)用領(lǐng)域的不斷擴(kuò)展，目錄服務(wù)技術(shù)成為許多新型技術(shù)實(shí)現(xiàn)信息存儲(chǔ)、管理和查詢的首選方案，特別是在網(wǎng)絡(luò)資源查找、用戶訪問控制與認(rèn)證信息的查詢、新型網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全、商務(wù)網(wǎng)的通用數(shù)據(jù)庫(kù)服務(wù)和安全服務(wù)等方面，都需要應(yīng)用目錄服務(wù)技術(shù)來實(shí)現(xiàn)一個(gè)通用、完善、應(yīng)用簡(jiǎn)單和

2、可以擴(kuò)展的系統(tǒng)。2.2.LDAPLDAP的介紹的介紹LDAP（LightweightDirectyAccessProtocol），輕量級(jí)目錄訪問協(xié)議。它是目錄訪問協(xié)議一個(gè)標(biāo)準(zhǔn)。它是基于X.500標(biāo)準(zhǔn)的，可以根據(jù)需要定制。輕量級(jí)目錄訪問協(xié)議以信息目錄的形式存在，在該目錄中可只定義一次用戶和組，而在多臺(tái)機(jī)器和多個(gè)應(yīng)用程序間共享它們。LDAP定義與目錄服務(wù)進(jìn)行通信所使用的操作，如何找到目錄中的實(shí)體，如何描述實(shí)體屬性，以及許多安全特性。這些安全

3、特性可用于對(duì)目錄進(jìn)行身份驗(yàn)證，控制對(duì)目錄中的實(shí)體的訪問。LDAP標(biāo)準(zhǔn)中沒有定義在目錄服務(wù)器上存儲(chǔ)信息的方式。為實(shí)施LDAP服務(wù)器，使用了許多不同的技術(shù)。這些技術(shù)包括簡(jiǎn)單的平面文件、索引文件和相關(guān)數(shù)據(jù)庫(kù)。無論使用什么技術(shù)來實(shí)施目錄，從LDAP客戶端對(duì)目錄的所有訪問都使用相同的標(biāo)準(zhǔn)協(xié)議：LDAP。為此，盡管存在不同的內(nèi)容結(jié)構(gòu)，這些目錄都被稱為L(zhǎng)DAP目錄服務(wù)器。在企業(yè)范圍內(nèi)實(shí)現(xiàn)LDAP可以讓運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上的所有的應(yīng)用程序從LDA

4、P目錄中獲取信息。LDAP目錄中可以存儲(chǔ)各種類型的數(shù)據(jù)：電子郵件地址、郵件路由信息、人力資源數(shù)據(jù)、公用密匙、聯(lián)系人列表，等等。通過把LDAP目錄作為系統(tǒng)集成中的一個(gè)重要環(huán)節(jié)，可以簡(jiǎn)化員工在企業(yè)內(nèi)部查詢信息的步驟，甚至連主要的數(shù)據(jù)源都可以放在任何地方。3.3.LDAPLDAP的組成的組成目錄服務(wù)就是按照樹狀信息組織模式，實(shí)現(xiàn)信息管理和服務(wù)接口的一種方表；RFC2829——定義了LDAPV3中的認(rèn)證方式；RFC2830——定義了如何通過擴(kuò)展

5、使用TLS服務(wù)；RFC1823——定義了C的LDAP客戶端API開發(fā)接口；RFC2847——定義了LDAP數(shù)據(jù)導(dǎo)入、導(dǎo)出文件接口LDIF。但在LDAP協(xié)議中尚未定義通用的訪問控制模型和復(fù)制協(xié)議（對(duì)應(yīng)X.500的映射協(xié)議DISP），盡管不同的LDAP廠商均實(shí)現(xiàn)了自己的控制模型和復(fù)制機(jī)制，但是LDAP標(biāo)準(zhǔn)的發(fā)展正集中在訪問控制模型、復(fù)制協(xié)議（DUP）以及擴(kuò)展操作上，這些擴(kuò)展操作包括查詢的分頁(yè)和排序、語言標(biāo)簽、動(dòng)態(tài)目錄、LDAP服務(wù)發(fā)現(xiàn)等。4

6、.4.LDAPLDAP的4種基本模型種基本模型1)1)信息模型：描述信息模型：描述LDAPLDAP的信息表示方式的信息表示方式在LDAP中信息以樹狀方式組織，在樹狀信息中的基本數(shù)據(jù)單元是條目，而每個(gè)條目由屬性構(gòu)成，屬性中存儲(chǔ)有屬性值；LDAP中的信息模式，類似于面向?qū)ο蟮母拍睿贚DAP中每個(gè)條目必須屬于某個(gè)或多個(gè)對(duì)象類（ObjectClass），每個(gè)ObjectClass由多個(gè)屬性類型組成，每個(gè)屬性類型有所對(duì)應(yīng)的語法和匹配規(guī)則；對(duì)象類

7、和屬性類型的定義均可以使用繼承的概念。每個(gè)條目創(chuàng)建時(shí)，必須定義所屬的對(duì)象類，必須提供對(duì)象類中的必選屬性類型的屬性值，在LDAP中一個(gè)屬性類型可以對(duì)應(yīng)多個(gè)值。在LDAP中把對(duì)象類、屬性類型、語法和匹配規(guī)則統(tǒng)稱為Schema，在LDAP中有許多系統(tǒng)對(duì)象類、屬性類型、語法和匹配規(guī)則，這些系統(tǒng)Schema在LDAP標(biāo)準(zhǔn)中進(jìn)行了規(guī)定，同時(shí)不同的應(yīng)用領(lǐng)域也定義了自己的Schema，同時(shí)用戶在應(yīng)用時(shí)，也可以根據(jù)需要自定義Schema。這有些類似于XM

8、L，除了XML標(biāo)準(zhǔn)中的XML定義外，每個(gè)行業(yè)都有自己標(biāo)準(zhǔn)的DTD或DOM定義，用戶也可以自擴(kuò)展；也如同XML，在LDAP中也鼓勵(lì)用戶盡量使用標(biāo)準(zhǔn)的Schema，以增強(qiáng)信息的互聯(lián)互通。在Schema中最難理解的是匹配規(guī)則，這是LDAP中為了加快查詢的速度，針對(duì)不同的數(shù)據(jù)類型，可以提供不同的匹配方法，如針對(duì)字符串類型的相等、模糊、大于小于均提供自己的匹配規(guī)則。2)2)命名模型：描述命名模型：描述LDAPLDAP中的數(shù)據(jù)如何組織中的數(shù)據(jù)如何組