Linux下的LDAP

作者简介 Atif Ghaffar 就像只变色龙 他经常变换角色 从系统管理员到程序员 再到教师 项目管理员 直至任何可以完成工作的角色 有时候 当他在**院看**的同时 他也喜欢拿出笔记本电脑编写程序 Atif始终坚信 他是属于linux和开放源码社团的 关于Atif的更多信息 可以访问他的主页~aghaffar 摘要 本文将讨论LDAP以及在我们所喜爱的 *** 作系统——linux上实现LDAP 已经有很多关于LDAP的文献 所以我不想在这里再重复什么 我不准备讨论高级的LDAP概念 计划以及第二版和第三版LDAP的区别等等 事实上 我对这类问题也所知不多 相反地 我将尝试用简单明了的语言解释什么是LDAP 它能给我们带来的好处以及我们如何使用它 我不是一个LDAP专家 我只是一个LDAP的初学者 本文介绍的是我用LDAP做了些什么以及如何做 我不会使你再像以前的我一样感到迷惑 问题 既然你是个LDAP初学者 为什么还要写一篇关于LDAP的文章？ 最近我在一个项目上需要一位同事的帮助 这个项目的基础就是LDAP 我的同事可以在perl 邮件服务器等等方面帮助我 但是他对LDAP一无所知 事实是每一次他想要深入学习LDAP 反而会对LDAP越来越迷惑 因为该项目的基础是LDAP 所以我给了这位同事半小时来学习LDAP 结果是一切反而变得清晰明了了 原因很简单 LDAP是在前端的 只需要集中一点点注意力或者一些生动的例子就可以了 在本文中我也正想这样做 你可以在文中发现好多对学习LDAP有用的url LDAP是什么？ LDAP是轻量目录访问协议(Ligheight Directory Access Protocol)的缩写 其实是一种目录服务 类似于我们在文件系统中所使用的目录 类似于我们查询电话号码使用的电话号码簿 类似于我们所使用诸如NIS(Neork Information Service) DNS (Domain Name Service)等网络目录 也类似于你在花园中所看到的树木 LDAP是一种特殊的数据库 但是LDAP和一般的数据库不同 明白这一点是很重要的 LDAP对查询进行了优化 与写性能相比LDAP的读性能要优秀很多 一般地 目录服务提供什么样的服务呢？ 通常是根据查询的标准返回一定的信息 实例 文件系统目录 ls /etc 返回/etc目录下所有的文件和子目录 ls /etc/p 返回/etc下所有以p开头的文件和子目录 find /usr/local/apache name l 这将在 /usr/local/apache 目录下搜索名为l的文件/子目录 NIS目录 ypcat passwd 这将从NIS数据库返回用户名 密码 用户id等信息 ypmatch atif passwd 返回用户atif的密码 DNS目录 nslookup 返回的ip地址 nslookup type MX 返回主机名符合的MX记录信息 LDAP目录 （我们将在下面详细阐述） ldapsearch uid=aghaffar 返回关于用户aghaffar的所有公开信息 这和find / uid aghaffar unix命令很类似 ldapsearch uid=aghaffar mail 返回用户ughaffar的邮件信息 目录基础或根 在上面我们所提到的任何一种目录服务中都有一个我们开始浏览或搜索的开始点 这个开始点就是通常所谓的根 这和一棵数的根也很类似 每棵都有一个根 以及很多的树枝树叶 文件系统的根是 / NIS 的根是域名 比如 DNS 根是Internic（译者注 Internet网络信息中心 Internet的管理组织） LDAP同样有一个可定义的根 比如 o= 这里o表示组织 每个根都可以衍生出好多枝叶（正如同你邻居的花园中的树木一样） 对于文件系统来说 它的枝叶就是一个个文件及子目录 每一个枝叶都有一些属性 比如文件系统的枝叶（文件及子目录）有以下的属性 名称 修改时间 所有者 组（译者注 所有者所在的组） 等等 下图显示了一个文件系统目录 属性由unix命令ls ld /usr得到 下面是一个LDAP目录的图示 我们将在下面讨论这张图 区分名（DN Distinguished Name） 和自然界中的树不同 文件系统/LDAP/电话号码簿目录的每一片枝叶都至少有一个独一无二的属性 这一属性可以帮助我们来区别这些枝叶 在文件系统中 这些独一无二的属性就是带有完整路径的文件名 比如/etc/passwd 该文件名在该路径下是独一无二的 当然我们可以有/usr/passwd /opt/passwd 但是根据它们的完整路径 它们仍然是唯一的 类似于DNS系统的FQDN正式域名 FQDN也是唯一的 在LDAP中 一个条目的区分名称叫做 dn 或者叫做区分名 在一个目录中这个名称总是唯一的 比如 我的dn是 uid=aghaffar ou=People o=developer ch 不可能有相同的dn 但是我们可以有诸如 uid=aghaffar ou=Administrators o=developer ch 的dn 这同上面文件系统中/etc/passwd 和 /usr/passwd的例子很类似 我们有独一无二的属性 在 ou=Administrators o=developer ch 中uid和在 ou=People o=developer ch 中的uid 这并不矛盾 LDAP服务器 现在市场上有很多LDAP服务器 大多数都可以在linux上运行 本文将介绍openLDAP的使用 我为什么选择openLDAP 为什么你应该选择openLDAP openLDAP是开放源码的 openLDAP的官方网站是 你可以下载其源代码包自己编译 或者看看你的linux发行版是否已经包含了该软件包 如果已经包含了就可以安装预先编译好的版本从而少花费些力气 我已经成功地在SuSE x 和 RedHat x上测试过openLDAP 构建LDAP目录 下面我们将介绍设置一个LDAP服务器的步骤 步骤 下载并安装openLDAP 配置 LDAP server 配置本地环境指向LDAP 安装 初始化LDAP 数据库 查询 LDAP 添加/修改 LDAP 条目 下载并安装openLDAP 正如前面所提到的 可以从下载源代码包并根据它的相关文档进行安装 或者安装预先编译好的包（包的安装或如何编译应用程序已经超出了本文讨论的范畴） 配置LDAP服务器 在我们的例子中 我将为构建LDAP服务器 你可以用你喜欢的编辑器编辑nf和f配置文件来更改名称等参数以适应你的具体需求 在我的服务器上配置文件在/etc/openldap目录下 你的配置文件可能在/usr/local/etc/openldap或者别的地方 这要根据你的linux发行版本或者编译openldap的具体情况而定 ######### /etc/openldap/nf ################################### # 下面的部分是我的suse linux 发行版本预先定义的 # 我们设置的部分在本文的第二和第三部分 include /etc/openldap/nf include /etc/openldap/nf schemacheck off pidfile /var/run/slapd pid argsfile /var/run/slapd args ####################################################################### # ldbm database definitions ####################################################################### # 定义使用的数据库类型 缺省是ldbm database ldbm # 后缀或者根 这是你LDAP目录的顶节点 suffix o= # LDAP的dbs 保存的位置 directory /var/lib/ldap # 目录管理员的区分名 rootdn cn=Manager o= # 保存ldap目录管理员的明文密码是很糟糕的 但是我们将在刚刚开始使用ldap时这样做 rootpw secret # 这就是所有的一切 编辑你的 /etc/openldap/nf配置文件 该文件位于ldap客户端(我们将使用同一计算机作为服务器和客户端 当然这可以在同一计算机或不同的计算机上) 通常诸如ldapdelete ldapadd等等的ldap客户端会读该文件的内容 ##########/etc/openldap/nf######### # LDAP 的缺省设置 # # 查看 nf( ) 可以获取更多的信息 # 本文件应该设置为对所有人可读 # 定义ldap服务器 可以用主机名或ip地址 host # 定义我们要查询的目录的根 # 我们将要使用的顶节点 这不一定是目录的根 比如我们可以使用 # base = ou=users o=linuxfocus ch # 这时我们的一切查询都将从树根o=的分支开始 现在启动ldap服务器 如果你使用SuSE预先编译好的openldap服务器 你可以通过下面的命令启动ldap服务 /etc/rc d/ldap start 在RedHat 该命令为 /etc/rc d/init d/ldap start 如果你是使用缺省设置自己编译并安装的 你可以用/usr/local/libexec/slapd &启动ldap服务器 如果没有使用缺省设置 请找到slapd文件并运行它 在新安装的LDAP服务器上添加数据 到现在 lishixinzhi/Article/program/Oracle/201311/17322

LDAP是基于TCP/IP协议的目录访问协议，是Internet上目录服务的通用访问协议。LDAP的出现简化了X500目录的复杂度，降低了开发成本，是X500标准的目录访问协议DAP的子集，同时也作为IETF的一个正式标准。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

从上述定义不难看出LDAP是一个目录，那么该目录是如何出现，有什么用呢？

在当今的信息世界，网络为人们提供了丰富的资源。随着网络资源的日益丰富，迫切需要一种能有效管理资源信息并利于检索查询的服务技术。目录服务技术随之产生。

1LDAP目录服务可以有效地解决众多网络服务的用户账户问题。

2LDAP目录服务规定了统一的身份信息数据库、身份认证机制和接口，实现了资源和信息的统一管理，保证了数据的一致性和完整性。

3LDAP目录服务是以树状的层次结构来描述数据信息的，此种模型适应了众多行业应用的业务组织结构。

LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库，但是不是关系型数据库。不象被设计成每分钟需要处理成百上千条数据变化的数据库，例如:在电子商务中经常用到的在线交易处理(OLTP)系统，LDAP主要是优化数据读取的性能。

LDAP最大的优势是:可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。

这个要全部配好比较复杂，尤其是schema映射那一部分。

如果没有特别需求还是建议用BDB。

如果单纯的讲slapdconf的配置还是比较简单的。

例子如下

#######################################################################

# sql database definitions

#######################################################################

database sql

suffix "o=sql,c=RU"

rootdn "cn=root,o=sql,c=RU"

rootpw secret

dbname ldap_mysql

dbuser root

dbpasswd

subtree_cond "ldap_entriesdn LIKE CONCAT('%',)"

insentry_stmt "INSERT INTO ldap_entries (dn,oc_map_id,parent,keyval) VALUES (,,,)"

has_ldapinfo_dn_ru no

LDAP的英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。它是基于X500标准的，但是简单多了并且可以根据需要定制。与X500不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。现在LDAP技术不仅发展得很快而且也是激动人心的。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

LDAP目录的优势

如果需要开发一种提供公共信息查询的系统一般的设计方法可能是采用基于WEB的数据库设计方式，即前端使用浏览器而后端使用WEB服务器加上关系数据库。后端在Windows的典型实现可能是Windows NT + IIS + Acess数据库或者是SQL服务器，IIS和数据库之间通过ASP技术使用ODBC进行连接，达到通过填写表单查询数据的功能；

后端在Linux系统的典型实现可能是Linux+ Apache + postgresql，Apache和数据库之间通过PHP3提供的函数进行连接。使用上述方法的缺点是后端关系数据库的引入导致系统整体的性能降低和系统的管理比较繁琐，因为需要不断的进行数据类型的验证和事务的完整性的确认；并且前端用户对数据的控制不够灵活，用户权限的设置一般只能是设置在表一级而不是设置在记录一级。

目录服务的推出主要是解决上述数据库中存在的问题。目录与关系数据库相似，是指具有描述性的基于属性的记录集合，但它的数据类型主要是字符型，为了检索的需要添加了BIN（二进制数据）、CIS（忽略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax），而不是关系数据库提供的整数、浮点数、日期、货币等类型，同样也不提供象关系数据库中普遍包含的大量的函数，它主要面向数据的查询服务（查询和修改 *** 作比一般是大于10:1），不提供事务的回滚（rollback）机制，它的数据修改使用简单的锁定机制实现All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能。

现在该说说LDAP目录到底有些什么优势了。现在LDAP的流行是很多因数共同作用的结果。可能LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。

LDAP协议是跨平台的和标准的协议，因此应用程序就不用为LDAP目录放在什么样的服务器上 *** 心了。实际上，LDAP得到了业界的广泛认可，因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持，因为他们根本不用考虑另一端（客户端或服务端）是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器（或者还可能是具有LDAP界面的关系型数据库），因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。与LDAP不同的是，如果软件产商想在软件产品中集成对DBMS的支持，那么通常都要对每一个数据库服务器单独定制。不象很多商用的关系型数据库，你不必为LDAP的每一个客户端连接或许可协议付费 大多数的LDAP服务器安装起来很简单，也容易维护和优化。

LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推”到远程的办公室，以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。

LDAP允许你根据需要使用ACI（一般都称为ACL或者访问控制列表）控制对数据读和写的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。

LDAP（Lightweight Directory Acess Protocol）是目录服务在TCP/IP上的实现（RFC 1777 V2版和RFC 2251

V3版）。它是对X500的目录协议的移植，但是简化了实现方法，所以称为轻量级的目录服务。在LDAP中目录是按照树型结构组织，目录由条目（Entry）组成，条目相当于关系数据库中表的记录；条目是具有区别名DN（Distinguished

Name）的属性（Attribute）集合，DN相当于关系数据库表中的关键字（Primary

Key）；属性由类型（Type）和多个值（Values）组成，相当于关系数据库中的域（Field）由域名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置和组织关系进行组织，非常的直观。LDAP把数据存放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。LDAP协议集还规定了DN的命名方法、存取控制方法、搜索格式、复制方法、URL格式、开发接口等

LDAP对于这样存储这样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新。

例如，这些信息存储在LDAP目录中是十分有效的：

l 公司员工的电话号码簿和组织结构图

l 客户的联系信息

l 计算机管理需要的信息，包括NIS映射、email假名，等等

l 软件包的配置信息

l 公用证书和安全密匙

什么时候该用LDAP存储数据

大多数的LDAP服务器都为读密集型的 *** 作进行专门的优化。因此，当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化，大多数的LDAP目录服务器并不适合存储需要需要经常改变的数据。例如，用LDAP服务器来存储电话号码是一个很好的选择，但是它不能作为电子商务站点的数据库服务器。

如果下面每一个问题的答案都是“是”，那么把数据存在LDAP中就是一个好主意。

l 需要在任何平台上都能读取数据吗？

l 每一个单独的记录项是不是每一天都只有很少的改变？

l 可以把数据存在平面数据库（flat database）而不是关系型数据库中吗？换句话来说，也就是不管什么范式不范式的，把所有东西都存在一个记录中（差不多只要满足第一范式）。

最后一个问题可能会唬住一些人，其实用平面数据库去存储一些关系型的数据也是很一般的。例如，一条公司员工的记录就可以包含经理的登录名。用LDAP来存储这类信息是很方便的。一个简单的判断方法：如果可以把保数据存在一张张的卡片里，就可以很容易地把它存在LDAP目录里。

安全和访问控制

LDAP提供很复杂的不同层次的访问控制或者ACI。因这些访问可以在服务器端控制，这比用客户端的软件保证数据的安全可安全多了。

用LDAP的ACI，可以完成：

l 给予用户改变他们自己的电话号码和家庭地址的权限，但是限制他们对其它数据（如，职务名称，经理的登录名，等等）只有“只读”权限。

l 给予“HR-admins"组中的所有人权限以改变下面这些用户的信息：经理、工作名称、员工号、部门名称和部门号。但是对其它域没有写权限。

l 禁止任何人查询LDAP服务器上的用户口令，但是可以允许用户改变他或她自己的口令。

l 给予经理访问他们上级的家庭电话的只读权限，但是禁止其他人有这个权限。

l 给予“host-admins"组中的任何人创建、删除和编辑所有保存在LDAP服务器中的与计算机主机有关的信息

l 通过Web，允许“foobar-sales"组中的成员有选择地给予或禁止他们自己读取一部分客户联系数据的读权限。这将允许他们把客户联系信息下载到本地的笔记本电脑或个人数字助理（PDA）上。（如果销售人员的软件都支持LDAP，这将非常有用）

l 通过Web，允许组的所有者删除或添加他们拥有的组的成员。例如：可以允许销售经理给予或禁止销售人员改变Web页的权限。也可以允许邮件假名（mail aliase）的所有者不经过IT技术人员就直接从邮件假名中删除或添加用户。“公用”的邮件列表应该允许用户从邮件假名中添加或删除自己（但是只能是自己）。也可以对IP地址或主机名加以限制。例如，某些域只允许用户IP地址以192168200开头的有读的权限，或者用户反向查找DNS得到的主机名必须为foobarcom。

LDAP目录树的结构

LDAP目录以树状的层次结构来存储数据。如果你对自顶向下的DNS树或UNIX文件的目录树比较熟悉，也就很容易掌握LDAP目录树这个概念了。就象DNS的主机名那样，LDAP目录记录的标识名（Distinguished Name，简称DN）是用来读取单个记录，以及回溯到树的顶部。后面会做详细地介绍。

为什么要用层次结构来组织数据呢？原因是多方面的。下面是可能遇到的一些情况：

l 如果你想把所有的美国客户的联系信息都“推”到位于到西雅图办公室（负责营销）的LDAP服务器上，但是你不想把公司的资产管理信息“推”到那里。

l 你可能想根据目录树的结构给予不同的员工组不同的权限。在下面的例子里，资产管理组对“asset-mgmt"部分有完全的访问权限，但是不能访问其它地方。

l 把LDAP存储和复制功能结合起来，可以定制目录树的结构以降低对WAN带宽的要求。位于西雅图的营销办公室需要每分钟更新的美国销售状况的信息，但是欧洲的销售情况就只要每小时更新一次就行了。

刨根问底：基准DN

LDAP目录树的最顶部就是根，也就是所谓的“基准DN"。基准DN通常使用下面列出的三种格式之一。假定我在名为FooBar的电子商务公司工作，这家公司在Internet上的名字是foobarcom。

o="FooBar, Inc", c=US

（以X500格式表示的基准DN）

在这个例子中，o=FooBar, Inc 表示组织名，在这里就是公司名的同义词。c=US 表示公司的总部在美国。以前，一般都用这种方式来表示基准DN。但是事物总是在不断变化的，现在所有的公司都已经（或计划）上Internet上。随着Internet的全球化，在基准DN中使用国家代码很容易让人产生混淆。现在，X500格式发展成下面列出的两种格式。

o=foobarcom

（用公司的Internet地址表示的基准DN）

这种格式很直观，用公司的域名作为基准DN。这也是现在最常用的格式。

dc=foobar, dc=com

（用DNS域名的不同部分组成的基准DN）

就象上面那一种格式，这种格式也是以DNS域名为基础的，但是上面那种格式不改变域名（也就更易读），而这种格式把域名：foobarcom分成两部分 dc=foobar, dc=com。在理论上，这种格式可能会更灵活一点，但是对于最终用户来说也更难记忆一点。考虑一下foobarcom这个例子。当foobarcom和gizmocom合并之后，可以简单的把“dc=com"当作基准DN。把新的记录放到已经存在的dc=gizmo, dc=com目录下，这样就简化了很多工作（当然，如果foobarcom和wocketedu合并，这个方法就不能用了）。如果LDAP服务器是新安装的，我建议你使用这种格式。再请注意一下，如果你打算使用活动目录（Actrive Directory），Microsoft已经限制你必须使用这种格式。

更上一层楼：在目录树中怎么组织数据

在UNIX文件系统中，最顶层是根目录（root）。在根目录的下面有很多的文件和目录。象上面介绍的那样，LDAP目录也是用同样的方法组织起来的。

在根目录下，要把数据从逻辑上区分开。因为历史上（X500）的原因，大多数LDAP目录用OU从逻辑上把数据分开来。OU表示“Organization Unit"，在X500协议中是用来表示公司内部的机构：销售部、财务部，等等。现在LDAP还保留ou=这样的命名规则，但是扩展了分类的范围，可以分类为：ou=people, ou=groups, ou=devices，等等。更低一级的OU有时用来做更细的归类。例如：LDAP目录树（不包括单独的记录）可能会是这样的：

dc=foobar, dc=com

ou=customers

ou=asia

ou=europe

ou=usa

ou=employees

ou=rooms

ou=groups

ou=assets-mgmt

ou=nisgroups

ou=recipes

单独的LDAP记录

DN是LDAP记录项的名字

在LDAP目录中的所有记录项都有一个唯一的“Distinguished Name"，也就是DN。每一个LDAP记录项的DN是由两个部分组成的：相对DN（RDN）和记录在LDAP目录中的位置。

RDN是DN中与目录树的结构无关的部分。在LDAP目录中存储的记录项都要有一个名字，这个名字通常存在cn（Common Name）这个属性里。因为几乎所有的东西都有一个名字，在LDAP中存储的对象都用它们的cn值作为RDN的基础。如果我把最喜欢的吃燕麦粥食谱存为一个记录，我就会用cn=Oatmeal Deluxe作为记录项的RDN。

l 我的LDAP目录的基准DN是dc=foobar,dc=com

l 我把自己的食谱作为LDAP的记录项存在ou=recipes

l 我的LDAP记录项的RDN设为cn=Oatmeal Deluxe

上面这些构成了燕麦粥食谱的LDAP记录的完整DN。记住，DN的读法和DNS主机名类似。下面就是完整的DN：

cn=Oatmeal Deluxe,ou=recipes,dc=foobar,dc=com

举一个实际的例子来说明DN

现在为公司的员工设置一个DN。可以用基于cn或uid（User ID），作为典型的用户帐号。例如，FooBar的员工Fran Smith（登录名：fsmith）的DN可以为下面两种格式：

uid=fsmith,ou=employees,dc=foobar,dc=com

（基于登录名）

LDAP（以及X500）用uid表示“User ID"，不要把它和UNIX的uid号混淆了。大多数公司都会给每一个员工唯一的登录名，因此用这个办法可以很好地保存员工的信息。你不用担心以后还会有一个叫Fran Smith的加入公司，如果Fran改变了她的名字（结婚？离婚？或宗教原因？），也用不着改变LDAP记录项的DN。

cn=Fran Smith,ou=employees,dc=foobar,dc=com

（基于姓名）

可以看到这种格式使用了Common Name（CN）。可以把Common Name当成一个人的全名。这种格式有一个很明显的缺点就是：如果名字改变了，LDAP的记录就要从一个DN转移到另一个DN。但是，我们应该尽可能地避免改变一个记录项的DN。

定制目录的对象类型

你可以用LDAP存储各种类型的数据对象，只要这些对象可以用属性来表示，下面这些是可以在LDAP中存储的一些信息：

l 员工信息：员工的姓名、登录名、口令、员工号、他的经理的登录名，邮件服务器，等等。

l 物品跟踪信息：计算机名、IP地址、标签、型号、所在位置，等等。

l 客户联系列表：客户的公司名、主要联系人的电话、传真和电子邮件，等等。

l 会议厅信息：会议厅的名字、位置、可以坐多少人、电话号码、是否有投影机。

l 食谱信息：菜的名字、配料、烹调方法以及准备方法。

因为LDAP目录可以定制成存储任何文本或二进制数据，到底存什么要由你自己决定。LDAP目录用对象类型（object classes）的概念来定义运行哪一类的对象使用什么属性。在几乎所有的LDAP服务器中，你都要根据自己的需要扩展基本的LDAP目录的功能，创建新的对象类型或者扩展现存的对象类型。

LDAP目录以一系列“属性对”的形式来存储记录项，每一个记录项包括属性类型和属性值（这与关系型数据库用行和列来存取数据有根本的不同）。下面是我存在LDAP目录中的一部分食谱记录：

dn: cn=Oatmeal Deluxe, ou=recipes, dc=foobar, dc=com

cn: Instant Oatmeal Deluxe

recipeCuisine: breakfast

recipeIngredient: 1 packet instant oatmeal

recipeIngredient: 1 cup water

recipeIngredient: 1 pinch salt

recipeIngredient: 1 tsp brown sugar

recipeIngredient: 1/4 apple, any type

请注意上面每一种配料都作为属性recipeIngredient值。LDAP目录被设计成象上面那样为一个属性保存多个值的，而不是在每一个属性的后面用逗号把一系列值分开。

因为用这样的方式存储数据，所以数据库就有很大的灵活性，不必为加入一些新的数据就重新创建表和索引。更重要的是，LDAP目录不必花费内存或硬盘空间处理“空”域，也就是说，实际上不使用可选择的域也不会花费你任何资源。

作为例子的一个单独的数据项

让我们看看下面这个例子。我们用Foobar, Inc的员工Fran Smith的LDAP记录。这个记录项的格式是LDIF，用来导入和导出LDAP目录的记录项。

dn: uid=fsmith, ou=employees, dc=foobar, dc=com

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

objectclass: foobarPerson

uid: fsmith

givenname: Fran

sn: Smith

cn: Fran Smith

cn: Frances Smith

telephonenumber: 510-555-1234

roomnumber: 122G

o: Foobar, Inc

mailRoutingAddress: fsmith@foobarcom

mailhost: mailfoobarcom

userpassword: {crypt}3x1231v76T89N

uidnumber: 1234

gidnumber: 1200

homedirectory: /home/fsmith

loginshell: /usr/local/bin/bash

属性的值在保存的时候是保留大小写的，但是在默认情况下搜索的时候是不区分大小写的。某些特殊的属性（例如，password）在搜索的时候需要区分大小写。

让我们一点一点地分析上面的记录项。

dn: uid=fsmith, ou=employees, dc=foobar, dc=com

这是Fran的LDAP记录项的完整DN，包括在目录树中的完整路径。LDAP（和X500）使用uid（User ID），不要把它和UNIX的uid号混淆了。

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

objectclass: foobarPerson

可以为任何一个对象根据需要分配多个对象类型。person对象类型要求cn（common name）和sn（surname）这两个域不能为空。persion对象类型允许有其它的可选域，包括givenname、telephonenumber，等等。organizational Person给person加入更多的可选域，inetOrgPerson又加入更多的可选域（包括电子邮件信息）。最后，foobarPerson是为Foobar定制的对象类型，加入了很多定制的属性。

uid: fsmith

givenname: Fran

sn: Smith

cn: Fran Smith

cn: Frances Smith

telephonenumber: 510-555-1234

roomnumber: 122G

o: Foobar, Inc

以前说过了，uid表示User ID。当看到uid的时候，就在脑袋里想一想“login"。

请注意CN有多个值。就象上面介绍的，LDAP允许某些属性有多个值。为什么允许有多个值呢？假定你在用公司的LDAP服务器查找Fran的电话号码。你可能只知道她的名字叫Fran，但是对人力资源处的人来说她的正式名字叫做Frances。因为保存了她的两个名字，所以用任何一个名字检索都可以找到Fran的电话号码、电子邮件和办公房间号，等等。

mailRoutingAddress: fsmith@foobarcom

mailhost: mailfoobarcom

就象现在大多数的公司都上网了，Foobar用Sendmail发送邮件和处理外部邮件路由信息。Foobar把所有用户的邮件信息都存在LDAP中。最新版本的Sendmail支持这项功能。

Userpassword: {crypt}3x1231v76T89N

uidnumber: 1234

gidnumber: 1200

gecos: Frances Smith

homedirectory: /home/fsmith

loginshell: /usr/local/bin/bash

注意，Foobar的系统管理员把所有用户的口令映射信息也都存在LDAP中。FoobarPerson类型的对象具有这种能力。再注意一下，用户口令是用UNIX的口令加密格式存储的。UNIX的uid在这里为uidnumber。提醒你一下，关于如何在LDAP中保存NIS信息，有完整的一份RFC。在以后的文章中我会谈一谈NIS的集成。

LDAP复制

LDAP服务器可以使用基于“推”或者“拉”的技术，用简单或基于安全证书的安全验证，复制一部分或者所有的数据。

例如，Foobar有一个“公用的”LDAP服务器，地址为ldapfoobarcom，端口为389。Netscape Communicator的电子邮件查询功能、UNIX的“ph"命令要用到这个服务器，用户也可以在任何地方查询这个服务器上的员工和客户联系信息。公司的主LDAP服务器运行在相同的计算机上，不过端口号是1389。

你可能即不想让员工查询资产管理或食谱的信息，又不想让信息技术人员看到整个公司的LDAP目录。为了解决这个问题，Foobar有选择地把子目录树从主LDAP服务器复制到“公用”LDAP服务器上，不复制需要隐藏的信息。为了保持数据始终是最新的，主目录服务器被设置成即时“推”同步。这些种方法主要是为了方便，而不是安全，因为如果有权限的用户想查询所有的数据，可以用另一个LDAP端口。

假定Foobar通过从奥克兰到欧洲的低带宽数据的连接用LDAP管理客户联系信息。可以建立从ldapfoobarcom:1389到munich-ldapfoobarcom:389的数据复制，象下面这样：

periodic pull: ou=asia,ou=customers,o=sendmailcom

periodic pull: ou=us,ou=customers,o=sendmailcom

immediate push: ou=europe,ou=customers,o=sendmailcom

“拉”连接每15分钟同步一次，在上面假定的情况下足够了。“推”连接保证任何欧洲的联系信息发生了变化就立即被“推”到Munich。

用上面的复制模式，用户为了访问数据需要连接到哪一台服务器呢？在Munich的用户可以简单地连接到本地服务器。如果他们改变了数据，本地的LDAP服务器就会把这些变化传到主LDAP服务器。然后，主LDAP服务器把这些变化“推”回本地的“公用”LDAP服务器保持数据的同步。这对本地的用户有很大的好处，因为所有的查询（大多数是读）都在本地的服务器上进行，速度非常快。当需要改变信息的时候，最终用户不需要重新配置客户端的软件，因为LDAP目录服务器为他们完成了所有的数据交换工作。

简单的说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式LDAP是一个用来发布目录信息到许多不同资源的协议通常它都作为一个集中的地址被使用,不过根据组织者的需要,它可以做得更加强大

LDAP其实是一个电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木

不少LDAP开发人员喜欢把LDAP与关系数据库相比,认为是另一种的存贮方式,然后在读性能上进行比较实际上,这种对比的基础是错误的LDAP和关系数据库是两种不同层次的概念,后者是存贮方式（同一层次如网格数据库,

对象数据库）,前者是存贮模式和访问协议LDAP是一个比关系数据库抽象层次更高的存贮概念,与关系数据库的查询语言SQL属同一级别LDAP最基本

的形式是一个连接数据库的标准方式该数据库为读查询作了优化因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多

特殊的数据库

从另一个意义上 LDAP是实现了指定的数据结构的存贮,它是一种特殊的数据库但是LDAP和一般的数据库不同,明确这一点是很重要的LDAP对查询进行了优化,与写性能相比LDAP的读性能要优秀很多

就象Sybase、Oracle、Informix或Microsoft的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样,LDAP服务器也是用来处理查询和更新LDAP目录的换句话来说LDAP目录也是一种类型的数据库,但不是关系型数据库要特别注意的是,LDAP通常作为一个 hierarchical数据库使用,而不是一个关系数据库因此,它的结构用树来表示比用表格好正因为这样,就不能用SQL语句了

21世纪的LDAP技术发展很快几乎所有计算机平台上的所有的应用程序都可以从LDAP目录中获取信息LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方

服务器

LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据,例如：可以把数据“推”到远程的办公室,以增加数据的安全性复制技术是内置在LDAP服务器中的而且很容易配置如果要在DBMS中使用相同的复制功能,数据库厂商就会要你支付额外的费用,而且也很难管理

以上就是关于Linux下的LDAP全部的内容，包括:Linux下的LDAP、什么叫LDAPLDAP服务器是什么、怎么采用SQL server最为ldap的后台数据库。等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！