LDAP(轻量级目录访问协议)是一种软件协议,使任何人都可以在公共 Internet 或公司 Intranet 上定位有关组织、个人和其他资源(例如网络中的文件和设备)的数据。LDAP 是目录访问协议 (DAP) 的“轻量级”(代码量较少)版本,它是 X.500 的一部分,X.500 是网络中目录服务的标准。

目录告诉用户某物在网络中的位置。在TCP/IP网络(包括 Internet)上,域名系统(DNS) 是用于将域名与特定网络地址(网络上的唯一位置)相关联的目录系统。但是,用户可能不知道域名。LDAP 允许用户在不知道他们所在位置的情况下搜索个人(尽管附加信息将有助于搜索)。

LDAP

LDAP 的使用

LDAP 的常见用途是为身份验证提供一个中心位置——这意味着它存储用户名和密码。然后可以在不同的应用程序或服务中使用 LDAP 来通过插件验证用户。例如,LDAP 可用于验证Docker、Jenkins、Kubernetes、Open VPN 和 Linux Samba 服务器的用户名和密码。系统管理员也可以使用 LDAP 单点登录来控制对 LDAP 数据库的访问。

LDAP 还可用于向目录服务器数据库添加操作、验证或绑定会话、删除 LDAP 条目、使用不同命令搜索和比较条目、修改现有条目、扩展条目、放弃请求或取消绑定操作。

LDAP 用于 Microsoft 的 Active Directory,但也可用于其他工具,例如 Open LDAP、Red Hat Directory Servers 和 IBM Tivoli Directory Servers。Open LDAP 是一个开源 LDAP 应用程序。它是为 LDAP 数据库控制而开发的 Windows LDAP 客户端和管理工具。该工具应允许用户浏览、查找、删除、创建和更改出现在 LDAP 服务器上的数据。Open LDAP 还允许用户管理密码和按模式浏览。

Red Hat Directory Servers 是一个用于在 UNIX 环境中使用 Red Hat Directory Server 管理多个系统的工具。Red Hat Directory Servers 允许用户将用户详细信息存储在 LDAP 服务器中。该工具为用户提供对目录数据、组成员和远程访问以及通过验证程序的访问的安全和受限访问。

IBM Tivoli Directory Server 是基于 IBM 的 LDAP 实现;基于 LDAP 框架。该工具专注于更快地开发和分发身份控制、安全和 Web 应用程序。Tivoli Directory Server 包括不同的验证方法,例如通过数字证书、简单认证和安全层 (SASL) 和 CRAM-MD5 进行的验证。

如果组织在决定何时使用 LDAP 时遇到困难,他们应该在几个用例中考虑它。如果出现以下情况,他们应该考虑:

  • 需要定期查找和访问单个数据;
  • 该组织有很多较小的数据条目;
  • 该组织希望将所有较小的数据块放在一个集中位置,并且数据之间不需要大量的组织。

LDAP 目录的级别

LDAP 配置组织在一个简单的“树”层次结构中,由以下级别组成:

根目录(树的起始位置或源),其分支为:

  • 国家,每个国家都分支到:

    • 组织,其分支为:

      • 组织单位(部门、部门等),分支到(包括条目):

        • 个人(包括人员、文件和共享资源,例如打印机)。

LDAP 目录可以分布在许多服务器之间。每个服务器都可以有一个定期同步的总目录的复制版本。LDAP 服务器称为目录系统代理 (DSA)。接收来自用户的请求的 LDAP 服务器负责该请求,并在必要时将其传递给其他 DSA,但确保为用户提供单一的协调响应。

LDAP 和活动目录

轻型目录访问协议是Exchange Server用于与 Active Directory 通信的协议。要真正了解 LDAP 是什么以及它的作用,了解 Active Directory 背后与 Exchange 相关的基本概念非常重要。

Active Directory 是一种目录服务,用于管理域、用户和分布式资源,例如 Windows 操作系统的对象。目录服务背后的要点是它管理域和对象,同时控制哪些用户可以访问每个资源。Active Directory 在 Windows Server 10 上可用,由多个服务组成。Active Directory 中包含的服务包括域、轻量级目录、证书、联合和权限管理服务。每个服务都包含在 Active Directory 名称下,以扩展目录管理功能。

Active Directory 包含有关整个网络上每个用户帐户的信息。它将每个用户帐户视为一个对象。每个用户对象也有多个属性。属性的一个示例是用户的名字、姓氏或电子邮件地址。所有这些信息都存在于域控制器——Active Directory 上的一个巨大的、神秘的数据库中。挑战在于以可用的格式提取信息。这是 LDAP 的主要工作。

LDAP 使用相对简单的基于字符串的查询从 Active Directory 中提取信息。LDAP 可以在 Active Directory 中存储和提取用户名和密码等对象,并在整个网络中共享该对象数据。好的部分是这一切都发生在幕后。普通的最终用户永远不必手动执行 LDAP 查询,因为 Outlook 支持 LDAP,并且知道如何自行执行所有必要的查询。

Tags: none

我有个想法