LDAP 概念

Posted 2021-03-25 xp0813

一、LDAP是什么？

　　LDAP：Light Direcctory Access Protocol 轻量级目录访问协议，ldap是一种目录数据库存储方式，所谓的目录结构形式就是存储方式类似于linux下的目录结构.

　　DN 是LDAP数据的id

　　　　其实linux下的一个个路径就是一个文件的id，而LDAP中数据的唯一标识就是DN，想要存储一条信息，首先就得有一个基准DN，例如：DN：dc=某公司,dc=com;就是一个根节点，根节点下就是具体的公司的信息了。DN: ou=研发部，dn=某公司，dn=com ；表示研发部属于这个DN。在表示研发部下的某个人：DN uid=某个人，ou=研发部，dc=某公司，dc=com，；

　　　　上边的DN里：

　　　　　　Base Dn（root Dn） ： DN ：dc=某公司，dc=com；

　　　　　　研发部的DN  ：DN：ou=研发部，dc=某公司，dc=com；

　　　　　　某员工的DN  ：DN ：uid=某个人，ou=研发部，dc=某公司，dc=com；   其中dc，ou，uid，都是DN的属性

　　　　DN的属性：

　　　　　　CN---》常用名称

　　　　　　L-----》地名

　　　　　　ST---》州或者省的名称

　　　　　　O----》组织名称

　　　　　　OU---》组织单位

　　　　　　C------》国家名称

　　　　　　DC----》域名成分

　　　　　　uid---》用户标识

　　对象类和属性

　　　　LDAP存储各种类型的数据对象，这些对象可以用属性来表示，LDAP目录用对象类（objectClass）的概念来定义运行哪一类的对象使用什么属性，所有对象都从其父对象类继承。

　　　　LDAP中一个条目必须包含一个objectClass属性，且需要赋予至少一个值。每一个值将用作一条LDAP条目进行数据存储模板，模板中包含了一个条目必须被赋值的属性和可选属性，objectClass有着严格的等级之分，最顶层是top和alias。

　　　　objectClass可以分为以下3类：

　　　　　　结构型（Structural）：eg：person和organizationUnit

　　　　　　辅助型（Auxiliary）：eg：extensibeObject；

　　　　　　抽象性（abstract）：eg：top，抽象型的objectClass不可以直接使用。

　　Attribute

　　　　Attribute属性类似于程序设计中的变量，可以被赋值，用户可以自定义Attribute。最常见的attribute 含义如下

　　　　　　c---国家

　　　　　　cn---指对象的名字

　　　　　　dc---常用来指一个域名的一部分

　　　　　　givenName---指一个人的名

　　　　　　mail---电子邮箱地址

　　　　　　o---一个组织的名字

　　　　　　ou---组织单位

　　　　　　sn---一个人的姓

　　　　　　telephoneNumber：电话号码

　　　　　　注：objectClass是以中特殊的Attribute