LDAP學習文件4 LDAP四種基本模型

ldap四種基本模型

資訊模型：描述ldap的資訊表示方式

在ldap中資訊以樹狀方式組織，在樹狀資訊中的基本資料單元是條目，而每個條目由屬性構成，屬性中儲存有屬性值；ldap中的資訊模式，類似於面向對象的概念，在ldap中每個條目必須屬於某個或多個物件類（object class），每個object class由多個屬性型別組成，每個屬性型別有所對應的語法和匹配規則；物件類和屬性型別的定義均可以使用繼承的概念。每個條目建立時，必須定義所屬的對象類，必須提供物件類中的必選屬性型別的屬性值，在ldap中乙個屬性型別可以對應多個值。

在ldap中把物件類、屬性型別、語法和匹配規則統稱為schema，在 ldap中有許多系統物件類、屬性型別、語法和匹配規則，這些系統schema在ldap標準中進行了規定，同時不同的應用領域也定義了自己的 schema，同時使用者在應用時，也可以根據需要自定義schema。這有些類似於xml，除了xml標準中的xml定義外，每個行業都有自己標準的 dtd或dom定義，使用者也可以自擴充套件；也如同xml，在ldap中也鼓勵使用者盡量使用標準的schema，以增強資訊的互聯互通。

在schema中最難理解的是匹配規則，這是ldap中為了加快查詢的速度，針對不同的資料型別，可以提供不同的匹配方法，如針對字串型別的相等、模糊、大於小於均提供自己的匹配規則。

命名模型：描述ldap中的資料如何組織

ldap中的命名模型，也即ldap中的條目定位方式。在ldap中每個條目均有自己的dn和rdn。dn是該條目在整個樹中的唯一名稱標識，rdn是條目在父節點下的唯一名稱標識，如同檔案系統中，帶路徑的檔名就是dn，檔名就是rdn。

功能模型：描述ldap中的資料操作訪問

安全模型：描述ldap中的安全機制

ldap中的安全模型主要通過身份認證、安全通道和訪問控制來實現。

身份認證在ldap中提供三種認證機制，即匿名、基本認證和sasl（****** authentication and secure layer）認證。匿名認證即不對使用者進行認證，該方法僅對完全公開的方式適用；基本認證均是通過使用者名稱和密碼進行身份識別，又分為簡單密碼和摘要密碼認證；sasl認證即ldap提供的在ssl和tls安全通道基礎上進行的身份認證，包括數字證書的認證。

通訊安全在ldap中提供了基於ssl/tls的通訊安全保障。ssl/tls是基於pki資訊保安技術，是目前internet上廣泛採用的安全服務。ldap 通過starttls方式啟動tls服務，可以提供通訊中的資料保密性、完整性保護；通過強制客戶端證書認證的tls服務，同時可以實現對客戶端身份和服務器端身份的雙向驗證。

訪問控制雖然ldap目前並無訪問控制的標準，但從一些草案中或是事實上ldap產品的訪問控制情況，我們不難看出：ldap訪問控制異常的靈活和豐富，在 ldap中是基於訪問控制策略語句來實現訪問控制的，這不同於現有的關係型資料庫系統和應用系統，它是通過基於訪問控制列表來實現的，無論是基於組模式或角色模式，都擺脫不了這種限制。

在使用關係型資料庫系統開發應用時，往往是通過幾個固定的資料庫使用者名稱訪問數據庫。對於應用系統本身的訪問控制，通常是需要建立專門的使用者表，在應用系統內開發針對不同使用者的訪問控制授權**，這樣一旦訪問控制策略變更時，往往需要**進行變更。總之一句話，關係型資料庫的應用中使用者資料管理和資料庫訪問標識是分離的，複雜的資料訪問控制需要通過應用來實現。

而對於ldap，使用者資料管理和訪問標識是一體的，應用不需要關心訪問控制的實現。這是由於在ldap中的訪問控制語句是基於策略語句來實現的，無論是訪問控制的資料物件，還是訪問控制的主體物件，均是與這些物件在樹中的位置和物件本身的資料特徵相關。

在ldap中，可以把整個目錄、目錄的子樹、制定條目、特定條目屬性集或符合某過濾條件的條目作為控制物件進行授權；可以把特定使用者、屬於特定組或所有目錄使用者作為授權主體進行授權；最後，還可以定義對特定位置（例如ip位址或dns名稱）的訪問權。

LDAP學習文件4 LDAP四種基本模型

LDAP學習文件4 LDAP四種基本模型

LDAP學習文件2 LDAP的特點和儲存基本情況

LDAP學習文件2 LDAP的特點和儲存基本情況

LDAP學習文件4 LDAP四種基本模型

LDAP學習文件4 LDAP四種基本模型

LDAP學習文件2 LDAP的特點和儲存基本情況

LDAP學習文件2 LDAP的特點和儲存基本情況

相關推薦