Čo je LDAP?
(1) Predtým, než predstavíme, čo je LDAP, pozrime sa na jednu vec: "Čo je to adresárová služba?" ”
1. Adresárová služba je špeciálna databáza, ktorá obsahuje popisné údaje založené na atribútoch s možnosťou filtrovania.
2. Je dynamický, flexibilný a ľahko škálovateľný.
Napríklad: organizácia a riadenie personálu, telefónny zoznam, adresár.
(2) Po pochopení adresárovej služby sa pozrime na zavedenie LDAP:
LDAP (Light Directory Access Portocol), čo je ľahký protokol prístupu k adresárom založený na štandarde X.500.
Adresár je databáza optimalizovaná na dotazovanie, prehliadanie a vyhľadávanie, organizujúca dáta do stromovej štruktúry, podobnej adresárovi súborov.
Adresárové databázy sa od relačných databáz líšia tým, že majú vynikajúci výkon čítania, ale slabý výkon zápisu, a nemajú zložité funkcie ako spracovanie transakcií a návrat späť do databázy, čo ich robí nevhodnými na ukladanie často upravovaných dát. Obsah sa teda inherentne používa na dotazovanie, rovnako ako jeho názov.
LDAP adresárová služba je systém pozostávajúci z adresárovej databázy a súboru prístupových protokolov.
(3) Prečo by sa mala používať
LDAP je otvorený internetový štandard, podporujúci multiplatformové internetové protokoly, široko uznávaný v odvetví a väčšina produktov na trhu alebo v open source komunite má pridanú podporu pre LDAP, takže pri tomto type systému nie je potrebné samostatne prispôsobovať, stačí jednoduchá konfigurácia cez LDAP na autentifikáciu a interakciu so serverom. "Jednoduché a hrubé" môže výrazne znížiť náklady na opakovaný vývoj a dokovanie.
Hlavné produkty LDAP:
| | | | | Úložisko založené na textovej databáze, rýchla rýchlosť. | | | Databázy založené na DB2 majú priemernú rýchlosť. | | | Úložisko založené na textovej databáze je rýchle a nie je bežne používané. | | Microsoft Active Directory | Na základe používateľov systému WINDOWS je rýchlosť spracovania veľkého objemu dát priemerná, ale je jednoduchá na údržbu, má rozsiahly ekosystém a relatívne jednoduchá na správu. | | | OpenLDAP je open-source projekt, ktorý je rýchly, ale nie je bežnou aplikáciou. |
Základný model LDAP
Každý systém a protokol má svoj vlastný model a LDAP nie je výnimkou, predtým než pochopíme základný model LDAP, musíme pochopiť niekoľko konceptov adresárového stromu LDAP:
(1) Koncept katalógového stromu
1. Strom adresárov: V systéme adresárových služieb môže byť celá informačná množina adresárov reprezentovaná ako informačný strom adresárov a každý uzol v strome je záznam.
2. Zápis: Každý záznam je záznam a každý záznam má svoj jedinečný rozlíšiteľný názov (DN).
3. Trieda objektu: Súbor atribútov zodpovedajúcich typu entity, trieda objektu môže byť dediteľná, takže potrebné atribúty triedy rodiča budú tiež zdedené.
4. Atribúty: Opíšte informácie o aspekte záznamu, atribút pozostáva z typu atribútu a jednej alebo viacerých hodnôt atribútov, pričom atribúty majú povinné a nepovinné atribúty.
(2) DC, UID, OU, CN, SN, DN, RDN
| | | | | Časť o doménových menách je rozdelená na niekoľko častí vo forme kompletného doménového mena, napríklad example.com doména sa stane dc=example, dc=com (umiestnenie záznamu) | | | Používateľské ID songtao.xu (ID záznamu) | | | Organizačné jednotky, organizačné jednotky môžu obsahovať rôzne ďalšie objekty (vrátane iných organizačných jednotiek), ako napríklad "oa group" (organizácia, ku ktorej záznam patrí) | | | Verejné mená, ako napríklad "Thomas Johansson" (názov nahrávky) | | | Priezvisko, napríklad "Xu" | | | "uid=songtao.xu,ou=oa group,dc=example,dc=com", umiestnenie záznamu (unikátne) | | | Relatívna diskriminácia, podobne ako relatívne cesty v súborovom systéme, je súčasťou štruktúry adresárového stromu, ktorá s ňou nemá nič spoločné, napríklad "uid=tom" alebo "cn= Thomas Johansson" |
Úvod do OpenLDAP
LDAP je ľahký protokol prístupu k adresárom (LDAP), ktorý je implementáciou open source centralizovanej architektúry správy účtov a podporuje mnoho systémových verzií, pričom ho prijíma väčšina internetových spoločností.
LDAP poskytuje a implementuje informačnú službu adresárovej služby, čo je špeciálny databázový systém s dobrým vplyvom na čítanie, prehliadanie a vyhľadávanie dát. Adresárové služby sa zvyčajne používajú na obsahovanie opisných informácií na základe atribútov a podporu sofistikovaných filtračných funkcií, ale adresárové služby OpenLDAP nepodporujú zložité politiky správy transakcií alebo rollback, ktoré sú potrebné pre veľké množstvo aktualizačných operácií všeobecných databáz.
LDAP má dva štandardy, a to X.500 a LDAP. OpenLDAP je založený na štandarde X.500 a odstraňuje zložité funkcie X.500 a môže byť prispôsobený ďalšími rozšíreniami podľa svojich potrieb, no existujú aj rozdiely oproti X.500, napríklad OpenLDAP podporuje protokol TCP/IP a podobne, TCP/IP je momentálne protokol na prístup na internet na internete.
OpenLDAP môže bežať priamo na jednoduchších a všeobecnejších vrstvách TCP/IP alebo iných spoľahlivých transportných protokolov, čím sa vyhýba režijnej záťaži na vrstvách OSI relácie a prezentácie, čím sa nadväzovanie spojenia a spracovanie paketov zjednodušuje a zrýchľuje, čo ho robí ideálnym pre internetové a podnikové sieťové aplikácie.
Informácie v adresári OpenLDAP sú uložené v stromovej hierarchii (podobne ako DNS) a vrchná vrstva sa nazýva "base DN", napríklad "dc=mydomain, dc=org" alebo "o=mydomain.org", pričom prvá je flexibilnejšia a používa sa aj vo Windows AD. Pod koreňovým adresárom sa nachádza mnoho súborov a adresárov a na logické oddelenie týchto veľkých dát OpenLDAP používa OU (Organization Unit) podobne ako iné adresárové protokoly, ktoré môžu reprezentovať interné organizácie spoločnosti, ako sú oddelenia a podobne, a tiež reprezentovať zariadenia, personál a podobne. Zároveň môže mať OU aj sub-OU, ktoré môžu reprezentovať podrobnejšie klasifikácie.
Každý záznam v OpenLDAP má jedinečný názov, ktorý ho odlišuje od ostatných záznamov, DN (Distinguished Name), a časť "listu" sa nazýva RDN (Relative Identifier of User Entry). Napríklad cn v dn:cn=tom, ou=animals, dc=ilanni, dc=com je RDN a RDN musí byť v OU jedinečný.
Štandardne OpenLDAP používa Berkeley DB ako backendovú databázu a databáza Berkeley DB ukladá údaje najmä vo forme hashovaných dátových typov, ako sú páry kľúč-hodnota.
BerkeleyDB je špeciálny typ databázy optimalizovaný na dotazovanie a čítanie, hlavne používaný na vyhľadávanie, prehliadanie a aktualizáciu operácií dotazov, a vo všeobecnosti má dobrý vplyv na zápis dát naraz, opakované dotazovanie a vyhľadávanie. BerkeleyDB nepodporuje vysokú priepustnosť súbežnosti a zložité transakčné operácie, ktoré podporujú transakčné databázy (MySQL, MariDB, Oracle a pod.).
|
Zverejnené 21. 6. 2020 20:25:32
|
|
|
|
