1、LDAP基礎(chǔ)知識

1、概念：

目錄服務是一個為查詢、瀏覽和搜索而優(yōu)化的專業(yè)分布式數(shù)據(jù)庫，它呈樹狀結(jié)構(gòu)組織數(shù)據(jù)，就好象Linux/Unix系統(tǒng)中的文件目錄一樣。目錄數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫不同，它有優(yōu)異的讀性能，但寫性能差，并且沒有事務處理、回滾等復雜功能，不適于存儲修改頻繁的數(shù)據(jù)。

LDAP是輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol)的縮寫；

2、特點：

1.LDAP采用樹結(jié)構(gòu)來表示數(shù)據(jù)；

2.LDAP是C/S模型，Server 用于存儲數(shù)據(jù)，Client提供操作目錄信息樹的工具;

3.LDAP具有優(yōu)異的讀性能，不過在寫方面，就比較差；

4.LDAP是跨平臺的Interent標準,可以在任何計算機平臺上，使用客戶端程序訪問LDAP目錄；

3、作用：

1.LDAP目錄服務可以有效地解決眾多網(wǎng)絡服務的用戶賬戶問題。

2.LDAP目錄服務規(guī)定了統(tǒng)一的身份信息數(shù)據(jù)庫、身份認證機制和接口，實現(xiàn)了資源和信息的統(tǒng)一管理，保證了數(shù)據(jù)的一致性和完整性。

3.LDAP目錄服務是以樹狀的層次結(jié)構(gòu)來描述數(shù)據(jù)信息的，此種模型適應了眾多行業(yè)應用的業(yè)務組織結(jié)構(gòu)。

4、常用術(shù)語：

(1)條目（Entry）：

    Entry就是目錄管理的對象，是LDAP中最基本的操作對象。通常對LDAP進行的增刪改查都是以條目為基本對象的。

每一個條目都有一個唯一的標識名(DN)，

DN：每一個條目都有一個唯一的標識名(distinguished Name,DN)，比如下圖中的：cn=員工1,ou=部門1,dc=公司1,dc=com，就是一個條目；通過DN的層次型語法結(jié)構(gòu)，可以方便地表示出條目在LDAP樹中的位置，通常用于檢索。

RDN：一般指dn逗號最左邊的部分，如cn=員工1。

Base DN：LDAP目錄樹的最頂部就是根，也就是所謂的“Base DN"，如"dc=公司1,dc=org"。

(2)屬性（Attribute）：

    每個條目都可以有很多屬性，比如常見的人都有姓名、地址、電話等屬性。每個屬性都有名稱及對應的值，屬性值可以有單個、多個，比如你有多個郵箱。

    屬性不是隨便定義的，需要符合一定的規(guī)則，而這個規(guī)則可以通過schema制定。這個文件包含在ldap的配置文件中；

比如說：如果配置文件中沒有 inetorgperson.schema這個schema，那么就不能為它指定employeeNumber屬性，因為employeeNumber是在inetorgperson.schema中定義的。

LDAP為人員組織機構(gòu)中常見的對象都設(shè)計了屬性(比如commonName，surname)。下面有一些常用的別名：

(3)對象類 ObjectClass：

    對象類是屬性的集合。比如人員（person）含有姓（sn）、名（cn）、電話(telephoneNumber)、密碼(userPassword)等屬性，單位職工(organizationalPerson)是人員(person)的繼承類，除了上述屬性之外還含有職務（title）、郵政編碼（postalCode）、通信地址(postalAddress)等屬性。

通過對象類可以方便的定義條目類型。每個條目可以直接繼承多個對象類，這樣就繼承了各種屬性。如果2個對象類中有相同的屬性，則條目繼承后只會保留1個屬性。對象類同時也規(guī)定了哪些屬性是基本信息，必須含有(Must 或Required，必要屬性)：哪些屬性是擴展信息，可以含有（May或Optional，可選屬性）。

對象類有三種類型：結(jié)構(gòu)類型（Structural）、抽象類型(Abstract)和輔助類型（Auxiliary）。

對象類本身是可以相互繼承的，所以對象類的根類是top抽象型對象類。以常用的人員類型為例，他們的繼承關(guān)系：

    注意，對象類繼承的時候會把屬性是必須(Must)還是可選（May）的特性也一并繼承。也就是說person有cn和sn兩個Must屬性，organizationalPerson和inetOrgPerson由于直接或間接繼承了person，也會有這兩個Must屬性。

    下面是inetOrgPerson對象類的在schema中的定義，可以清楚的看到它的父類SUB和可選屬性MAY、必要屬性MUST(繼承自organizationalPerson)，關(guān)于各屬性的語法則在schema中的attributetype定義。

(4)Schema

    對象類（ObjectClass）、屬性類型（AttributeType）、語法（Syntax）分別約定了條目、屬性、值，他們之間的關(guān)系如下圖所示。

所有這些構(gòu)成了模式(Schema)——對象類的集合。條目數(shù)據(jù)在導入時通常需要接受模式檢查，它確保了目錄中所有的條目數(shù)據(jù)結(jié)構(gòu)都是一致的。

schema（一般在/etc/ldap/schema/目錄）在導入時要注意前后順序。

4、TLS & SASL

分布式LDAP 是以明文的格式通過網(wǎng)絡來發(fā)送信息的，包括client訪問ldap的密碼（當然一般密碼已然是二進制的），SSL/TLS 的加密協(xié)議就是來保證數(shù)據(jù)傳送的保密性和完整性。

SASL （Simple Authenticaion and Security Layer）簡單身份驗證安全框架，它能夠?qū)崿F(xiàn)openldap客戶端到服務端的用戶驗證，也是ldapsearch、ldapmodify這些標準客戶端工具默認嘗試與LDAP服務端認證用戶的方式（前提是已經(jīng)安裝好 Cyrus SASL）。

SASL有幾大工業(yè)實現(xiàn)標準：Kerveros V5、DIGEST-MD5、EXTERNAL、PLAIN、LOGIN。

Kerveros V5是里面最復雜的一種，使用GSSAPI機制，必須配置完整的Kerberos V5安全系統(tǒng)，密碼不再存放在目錄服務器中，每一個dn與Kerberos數(shù)據(jù)庫的主體對應。DIGEST-MD5稍微簡單一點，密碼通過saslpasswd2生成放在sasldb數(shù)據(jù)庫中，或者將明文hash存到LDAP dn的userPassword中，每一個authid映射成目錄服務器的dn，常和SSL配合使用。參考將 LDAP 客戶端配置為使用安全性

#rpm -ql cyrus-sasl.x86_64（檢查是否安裝Cyrus SASL）

本文參考：

https://segmentfault.com/a/1190000002607140

http://407711169.blog.51cto.com/6616996/1439623