Что такое LDAP?
(1) Прежде чем вводить, что такое LDAP, давайте рассмотрим один вопрос: «Что такое сервис каталогов?» ”
1. Служба каталога — это специальная база данных, содержащая описательные данные на основе атрибутов с возможностью фильтрации.
2. Она динамичная, гибкая и легко масштабируемая.
Например: организация и управление персоналом, телефонная книга, адресная книга.
(2) После понимания службы каталогов давайте рассмотрим введение LDAP:
LDAP (Light Directory Access Portocol) — это лёгкий протокол доступа к каталогам, основанный на стандарте X.500.
Каталог — это база данных, оптимизированная для запросов, просмотра и поиска, организующая данные по древообразной структуре, аналогичной файловому каталогу.
Каталоговые базы данных отличаются от реляционных тем, что обладают отличной производительностью чтения, но низкой производительностью записи, а также не имеют сложных функций, таких как обработка транзакций и откат, что делает их непригодными для хранения часто изменяемых данных. Таким образом, оглавление по своей сути используется для запросов, как и её название.
Служба каталогов LDAP — это система, состоящая из базы данных каталогов и набора протоколов доступа.
(3) Почему его следует использовать
LDAP — это открытый интернет-стандарт, поддерживающий кроссплатформенные интернет-протоколы, широко признанный в отрасли, и большинство продуктов на рынке или в сообществе открытого исходного кода имеют поддержку LDAP, поэтому для такого типа системы нет необходимости настраивать отдельно, достаточно выполнить простую конфигурацию через LDAP для аутентификации и взаимодействия с сервером. «Простота и грубость» может значительно снизить затраты на повторную разработку и стыковку.
Основные продукты LDAP:
| | | | | Хранилище на базе данных данных, высокая скорость. | | | Базы данных на базе DB2 имеют среднюю скорость. | | | Хранение на базе данных данных быстрое и редко используется. | | Microsoft Active Directory | По данным пользователей системы WINDOWS, скорость обработки больших объёмов данных средняя, но её легко поддерживать, есть большая экосистема и относительно просто управлять. | | | OpenLDAP — это проект с открытым исходным кодом, который быстрый, но не является массовым приложением. |
Базовая модель LDAP
Каждая система и протокол имеют свою модель, и LDAP не исключение: прежде чем понять базовую модель LDAP, нам нужно понять несколько концепций дерева каталогов LDAP:
(1) Концепция дерева каталогов
1. Дерево каталогов: в системе сервисов каталогов весь набор информации каталога может быть представлен как дерево информации каталога, и каждый узел в дереве является записью.
2. Запись: Каждая запись — это запись, и каждая запись имеет своё уникальное различиемое имя (DN).
3. Класс объекта: Набор атрибутов, соответствующих типу сущности, класс объекта можно унаследовать, чтобы необходимые атрибуты родительского класса также были унаследованы.
4. Атрибуты: Опишите информацию о аспекте записи, атрибут состоит из типа атрибута и одного или нескольких значений атрибутов, при этом атрибуты имеют обязательные и необязательные атрибуты.
(2) DC, UID, OU, CN, SN, DN, RDN
| Полное имя на английском языке | | | | Часть доменного имени делится на несколько частей в форме полного доменного имени, например, example.com доменное имя становится dc=example, dc=com (местоположение записи) | | Идентификатор пользователя | User ID songtao.xu (ID записи) | | Организационное подразделение | Организационные единицы, организационные единицы могут содержать различные другие объекты (включая другие организационные единицы), такие как «oa group» (организация, к которой принадлежит запись) | | | Публичные имена, такие как «Thomas Johansson» (название пластинки) | | | | | | "uid=songtao.xu,ou=oa group,dc=example,dc=com", местоположение записи (уникальной) | | | Относительная дискриминация, подобно относительным путям в файловой системе, является частью структуры дерева каталогов, не имеющей к этому никакого отношения, например, «uid=tom» или «cn= Thomas Johansson» |
Введение в OpenLDAP
LDAP — это лёгкий протокол доступа к каталогам (LDAP), реализующий открытую централизованную архитектуру управления учетными записями, поддерживающий множество системных версий и принимаемый большинством интернет-компаний.
LDAP предоставляет и реализует информационный сервис справочного сервиса — специальную систему баз данных, которая хорошо влияет на чтение, просмотр и поиск данных. Службы каталогов обычно используются для хранения описательной информации на основе атрибутов и поддержки сложных функций фильтрации, однако службы каталогов OpenLDAP не поддерживают сложные политики управления транзакциями или отката, необходимые для большого числа операций обновления баз данных общего назначения.
LDAP имеет два стандарта: X.500 и LDAP. OpenLDAP основан на стандарте X.500, убирает сложные функции X.500 и может настраиваться с дополнительными расширениями в соответствии с собственными потребностями, но есть и отличия от X.500, например, поддержка протокола TCP/IP и т.д., TCP/IP в настоящее время является протоколом доступа к Интернету в Интернете.
OpenLDAP может работать непосредственно на более простом и общем уровне TCP/IP или других надёжных транспортных протоколов, избегая накладных расходов на уровне сессии и презентации OSI, что делает установление соединений и обработку пакетов более простым и быстрым, что делает его идеальным для интернет- и корпоративных сетевых приложений.
Информация в каталоге OpenLDAP хранится в иерархии, похожей на дерево (аналогично DNS), а верхний слой называется «базовым DN», например, «dc=mydomain, dc=org» или «o=mydomain.org», первый более гибок и также используется в Windows AD. В корневом каталоге много файлов и каталогов, и для логического разделения этих больших объёмов данных OpenLDAP использует OU (Organization Unit), как и другие протоколы службы каталогов, которые могут использоваться для представления внутренних компаний, таких как отделы и т.д., а также для представления оборудования, персонала и т.д. В то же время OU может иметь под-OU, которые используются для представления более детальных классификаций.
Каждая запись в OpenLDAP имеет уникальное имя, отличающее её от других записей — DN (Distinguished Name), а часть «листа» называется RDN (Relative Identifier of User Entry). Например, cn в dn:cn=tom, ou=animals, dc=ilanni, dc=com — это RDN, а RDN должен быть уникален в OU.
По умолчанию OpenLDAP использует Berkeley DB в качестве базы данных, а база данных Berkeley DB в основном хранит данные в виде хешированных типов данных, таких как пары ключ-значение.
BerkeleyDB — это особый тип базы данных, оптимизированный для запросов и чтения, в основном используемый для поиска, просмотра и обновления операций по запросам, и обычно хорошо влияет на одновременную запись данных, многократный запрос и поиск. BerkeleyDB не поддерживает высокую параллельную пропускную способность и сложные транзакционные операции, поддерживаемые транзакционными базами данных (MySQL, MariDB, Oracle и др.).
|
Опубликовано 21.06.2020 20:25:32
|
|
|
|
