O que é LDAP?
(1) Antes de apresentar o que é LDAP, vamos revisar uma coisa: "O que é um serviço de diretório?" ”
1. O serviço de diretório é um banco de dados especial que contém detalhes descritivos, baseados em atributos, com capacidades de filtragem.
2. É dinâmico, flexível e facilmente escalável.
Por exemplo: organização e gestão de pessoal, lista telefônica, agenda de endereços.
(2) Após entender o serviço de diretórios, vamos dar uma olhada na introdução do LDAP:
LDAP (Light Directory Access Portocol), que é um protocolo leve de acesso a diretórios baseado no padrão X.500.
Um diretório é um banco de dados otimizado para consultas, navegação e buscas, organizando dados em uma estrutura semelhante a uma árvore, semelhante a um diretório de arquivos.
Bancos de dados diretórios diferem dos bancos relacionais por terem excelente desempenho de leitura, mas baixo desempenho de escrita, e não possuem funções complexas como processamento de transações e rollback, tornando-os inadequados para armazenar dados frequentemente modificados. Portanto, o sumário é inerentemente usado para consultas, assim como seu nome.
O serviço de diretório LDAP é um sistema composto por um banco de dados de diretórios e um conjunto de protocolos de acesso.
(3) Por que deve ser usada
LDAP é um padrão aberto de Internet, suportando protocolos de Internet multiplataforma, amplamente reconhecido na indústria, e a maioria dos produtos no mercado ou na comunidade open source já tem suporte adicional para LDAP, então, para esse tipo de sistema, não há necessidade de personalizar separadamente, apenas fazer uma configuração simples via LDAP para autenticar e interagir com o servidor. "Simples e rudimentar" pode reduzir muito o custo do desenvolvimento e acoplamento repetidos.
Principais produtos da LDAP:
| | | | Servidor de Diretório SUNONE | Armazenamento baseado em banco de dados de texto, velocidade rápida. | | Servidor de Diretório IBM | Bancos de dados baseados em DB2 têm velocidade média. | | Servidor de Diretórios Novell | O armazenamento baseado em banco de dados de texto é rápido e não é comumente utilizado. | | Microsoft Active Directory | Com base nos usuários do sistema WINDOWS, a velocidade de processamento de grandes volumes de dados é média, mas é fácil de manter, possui um grande ecossistema e é relativamente simples de gerenciar. | | | OpenLDAP é um projeto de código aberto que é rápido, mas não uma aplicação popular. |
Modelo básico do LDAP
Cada sistema e protocolo terá seu próprio modelo, e o LDAP não é exceção; antes de entender o modelo básico do LDAP, precisamos compreender vários conceitos de árvore de diretórios LDAP:
(1) Conceito de árvore de catálogo
1. Árvore de diretórios: Em um sistema de serviços de diretório, todo o conjunto de informações do diretório pode ser representado como uma árvore de informações de diretório, e cada nó na árvore é uma entrada.
2. Entrada: Cada entrada é um registro, e cada entrada tem seu próprio nome único e distinto (DN).
3. Classe de objeto: Um conjunto de atributos correspondentes a um tipo de entidade, a classe de objeto, pode ser herdada, de modo que os atributos necessários da classe mãe também serão herdados.
4. Atributos: Descreva a informação de um aspecto da entrada, um atributo consiste em um tipo de atributo e um ou mais valores de atributo, e os atributos possuem atributos obrigatórios e não obrigatórios.
(2) DC, UID, OU, CN, SN, DN, RDN
| | | | | A parte do nome de domínio é dividida em várias partes na forma de um nome de domínio completo, como example.com nome de domínio se torna dc=exemplo, dc=com (a localização de um registro) | | | ID de usuário songtao.xu (ID de um registro) | | | Unidades organizacionais, unidades organizacionais podem conter vários outros objetos (incluindo outras unidades organizacionais), como "grupo OA" (a organização à qual pertence um registro) | | | Nomes públicos, como "Thomas Johansson" (nome de um disco) | | | | | | "uid=songtao.xu,ou=OA Group,dc=example,dc=com", a localização de um registro (único) | | | Discriminação relativa, semelhante a caminhos relativos em um sistema de arquivos, faz parte da estrutura de diretórios que não tem nada a ver com isso, como "uid=tom" ou "cn= Thomas Johansson" |
Introdução ao OpenLDAP
LDAP é um protocolo leve de acesso a diretórios (LDAP), que é uma implementação de uma arquitetura de gerenciamento centralizado de contas de código aberto e suporta muitas versões do sistema, sendo adotado pela maioria das empresas de Internet.
O LDAP fornece e implementa o serviço de informação do serviço de diretório, que é um sistema especial de banco de dados que tem um bom efeito na leitura, navegação e busca de dados. Os serviços de diretório geralmente são usados para conter informações descritivas baseadas em atributos e suportar funções sofisticadas de filtragem, mas os serviços de diretório OpenLDAP não suportam políticas complexas de gerenciamento de transações ou rollback necessárias para um grande número de operações de atualização de bancos de dados de uso geral.
O LDAP possui dois padrões, a saber, X.500 e LDAP. O OpenLDAP é baseado no padrão X.500, remove as funções complexas do X.500 e pode ser personalizado com extensões adicionais conforme suas próprias necessidades, mas também há diferenças em relação ao X.500, como o OpenLDAP suporta o protocolo TCP/IP, etc., e TCP/IP é atualmente o protocolo para acessar a Internet na Internet.
O OpenLDAP pode rodar diretamente nas camadas mais simples e gerais TCP/IP ou outros protocolos de transporte confiáveis, evitando a sobrecarga nas camadas de sessão e apresentação do OSI, tornando o estabelecimento de conexões e processamento de pacotes mais simples e rápido, tornando-o ideal para aplicações na Internet e redes empresariais.
As informações no diretório OpenLDAP são armazenadas em uma hierarquia em forma de árvore (semelhante ao DNS), e a camada superior é chamada de "DN base", como "dc=meudomínio, dc=org" ou "o=meudomínio.org"; a primeira é mais flexível e também é usada no Windows AD. Existem muitos arquivos e diretórios sob o diretório raiz e, para separar logicamente essas grandes quantidades de dados, o OpenLDAP usa a OU (Unidade Organizacional) como outros protocolos de serviço de diretório, que pode ser usado para representar organizações internas da empresa, como departamentos, etc., e também pode ser usado para representar equipamentos, pessoal, etc. Ao mesmo tempo, a OU também pode ter sub-OUs, que podem ser usados para representar classificações mais detalhadas.
Cada registro no OpenLDAP tem um nome único que o distingue de outros registros, DN (Nome Distinto), e a parte da "folha" é chamada RDN (Identificador Relativo da Entrada do Usuário). Por exemplo, cn em dn:cn=tom, ou=animals, dc=ilanni, dc=com é RDN, e RDN deve ser único em uma OU.
Por padrão, o OpenLDAP usa o Berkeley DB como banco de dados backend, e o banco de dados Berkeley armazena principalmente dados na forma de tipos de dados hashados, como pares-chave-valor.
BerkeleyDB é um tipo especial de banco de dados otimizado para consulta e leitura, usado principalmente para busca, navegação e atualização de operações de consulta, e geralmente tem um bom efeito na escrita de dados de uma vez, consultando e pesquisando várias vezes. O BerkeleyDB não suporta a alta taxa de concorrência e operações transacionais complexas suportadas por bancos de dados transacionais (MySQL, MariDB, Oracle, etc.).
|
Publicado em 21/06/2020 20:25:32
|
|
|
|
