ldap是lightweight directory access protocol的縮寫,顧名思義,它是指輕量級目錄訪問協議(這個主要是相對另一目錄訪問協議x.500而言的;ldap略去了x.500中許多不太常用的功能,且以tcp/ip協議為基礎)。目錄服務和資料庫很類似,但又有著很大的不同之處。資料庫設計為方便讀寫,但目錄服務專門進行了讀優化的設計,因此不太適合於經常有寫操作的資料儲存。同時,ldap只是乙個協議,它沒有涉及到如何儲存這些資訊,因此還需要乙個後端資料庫元件來實現。這些後端可以 是bdb(berkeleydb)、ldbm、shell和passwd等。
ldap目錄的條目(entry)由屬性(attribute)的乙個聚集組成,並由乙個唯一性的名字引用,即專有名稱(distinguished name,dn)。例如,dn能取這樣的值:「ou=people,dc=wikipedia,dc=org」。
dc=orgldap中每一條記錄都有乙個唯一的區別於其它記錄的名字dn(distinguished name),其處在「葉子」位置的部分稱作rdn;如dn:cn=tom,ou=animals,dc=mydomain,dc=org中tom即為 rdn;rdn在乙個ou中必須是唯一的。|dc=wikipedia
/ \
ou=people ou=groups
ldap 協議既是跨平台的也是基於標準的。這意味著幾乎在任何計算機平台上執行的任何應用程式都可以從ldap目錄獲取資訊。另外,無論什麼伺服器作業系統、檔案系統或平台對於客戶機都是無關緊要的。
ldap目錄幾乎可以儲存所有型別的資料:電子郵件位址、dns 資訊、nis 對映、安全性金鑰、聯絡人資訊列表和計算機名等。如果需要專門的組織單元或項,則可以根據具體實現來定製控制給定字段可以儲存哪種資訊的規則。
大多數 ldap 伺服器的安裝和配置相對比較簡單,並且可以在很少或沒有維護的情況下執行多年,而且很容易為特定型別的訪問而進行最優化。
可以容易地配置 ldap 目錄來複製部分或所有目錄樹(使用推(push)或拉(pull)方法)。這可以使系統管理員不必擔心出現單點故障的情況。
可以通過 acl(訪問控制表,access control list)來控制對目錄的訪問。例如,管理員可以根據給定組或位置中的成員資格來限制誰可以看到哪些內容,或者給予特殊使用者在其自己記錄中修改所選字段的能力。acl 提供極其細粒度的訪問控制,而且 acl 將這種控制與 ldap 安裝結合在一起,而不是與請求資訊的客戶機結合在一起。此外,可以容易地將 ldap 與大多數現有的安全性層和/或認證系統(例如 ssl、kerberos 和 pam 等)整合在一起。
ldap是lightweight directory access protocol的縮寫,顧名思義,它是指輕量級目錄訪問協議(這個主要是相對另一目錄訪問協議x.500而言的;ldap略去了x.500中許多不太常用的功能,且以tcp/ip協議為基礎)。目錄服務和資料庫很類似,但又有著很大的不同之處。資料庫設計為方便讀寫,但目錄服務專門進行了讀優化的設計,因此不太適合於經常有寫操作的資料儲存。同時,ldap只是乙個協議,它沒有涉及到如何儲存這些資訊,因此還需要乙個後端資料庫元件來實現。這些後端可以 是bdb(berkeleydb)、ldbm、shell和passwd等。
ldap目錄的條目(entry)由屬性(attribute)的乙個聚集組成,並由乙個唯一性的名字引用,即專有名稱(distinguished name,dn)。例如,dn能取這樣的值:「ou=people,dc=wikipedia,dc=org」。
dc=orgldap中每一條記錄都有乙個唯一的區別於其它記錄的名字dn(distinguished name),其處在「葉子」位置的部分稱作rdn;如dn:cn=tom,ou=animals,dc=mydomain,dc=org中tom即為 rdn;rdn在乙個ou中必須是唯一的。|dc=wikipedia
/ \
ou=people ou=groups
ldap 協議既是跨平台的也是基於標準的。這意味著幾乎在任何計算機平台上執行的任何應用程式都可以從ldap目錄獲取資訊。另外,無論什麼伺服器作業系統、檔案系統或平台對於客戶機都是無關緊要的。
ldap目錄幾乎可以儲存所有型別的資料:電子郵件位址、dns 資訊、nis 對映、安全性金鑰、聯絡人資訊列表和計算機名等。如果需要專門的組織單元或項,則可以根據具體實現來定製控制給定字段可以儲存哪種資訊的規則。
大多數 ldap 伺服器的安裝和配置相對比較簡單,並且可以在很少或沒有維護的情況下執行多年,而且很容易為特定型別的訪問而進行最優化。
可以容易地配置 ldap 目錄來複製部分或所有目錄樹(使用推(push)或拉(pull)方法)。這可以使系統管理員不必擔心出現單點故障的情況。
可以通過 acl(訪問控制表,access control list)來控制對目錄的訪問。例如,管理員可以根據給定組或位置中的成員資格來限制誰可以看到哪些內容,或者給予特殊使用者在其自己記錄中修改所選字段的能力。acl 提供極其細粒度的訪問控制,而且 acl 將這種控制與 ldap 安裝結合在一起,而不是與請求資訊的客戶機結合在一起。此外,可以容易地將 ldap 與大多數現有的安全性層和/或認證系統(例如 ssl、kerberos 和 pam 等)整合在一起。
LDAP讀書筆記2 LDAP協議
ldap協議 ldap 協議的操作 1 查詢操作 search compare 2 更新操作 add delete modify modify dn rename 3 認證和控制操作 bind unbind abandon 乙個典型的 ldap 客戶端 伺服器之間的互動如下 1 客戶端通過 tcp ...
域滲透之ldap協議
ldap light directory access protocal 是乙個基於x.500標準的輕量級目錄訪問協議,ldap是支援跨平台的internet協議,只需要通過ldap做簡單的配置就可以與伺服器做認證互動。可以大大降低開發的成本。windows active diretcory就是乙個...
tcp ip協議認識
協議分為四層,自下而上分別是鏈路層,網路層,傳輸層,應用層 1.鏈路層 主機a把網路層傳遞下來的ip資料報增加首部和尾部,之後變成mac資料報,傳給物理層。主機b鏈路層收到資料報會去掉首部和尾部,呈交給上層。鏈路層的基本協議 1.封裝成幀 傳輸時的mac資料報會增加soh和eot,接收端只有同時收到...