,-------\\, +---------\\+ “---------\\” \\--------\\\\ < ----- \\< > ----- \\>
; -------- \\;
如:o=United Widgets\\, Ltd., c=GB 别名
在LDAP中可以定义一个别名Entry,指向另外一个Entry。如下图所示
如何创建别名Entry
要创建别名Entry,该Entry的object class必须是alias。而且其属性aliasedObjectName的值必须是该Entry所指向的Entry的DN。不过一般情况下应该避免使用别名Entry。会影响性能。而且如果被引用的Entry被删除的话,该Entry就会指向一个错误的结果。
LDAP URL
由于使用Alias Entry有许多缺点,可以使用LDAP URL或referral代替Alias Entry。
3.LDAP功能模型(LDAP Functional Model)
LDAP功能模型描述了LDAP 协议可以采用的相关操作,来访问存储在目录树中的数据。 LDAP功能模型包含一系列的操作,这些操作被分为三组。
1. 更新操作 包括添加,删除,重命名,修改Entry 2. Interrogation Operation 用于数据的查询 3. 认证和控制 (bind unbind abandon) Interrogation Operation 1. The LDAP Search Operation 该操作需要八个参数 a. base object
也可以表示为DN。表明你想要查询direcoty中树的顶点。 b. search scope
DN 与search scope两个参数限定了要搜索数据的范围 共有三个scope
Sub 搜索范围是包含顶节点在内的一棵子树 如下图
其中DN =”ou=People,dc=example,dc=com” Base 搜索范围只包含一个节点 如下图
其中DN =”ou=People,dc=example,dc=com”
Onelevel 其搜索范围是DN所表示的节点下的直接子节点。如下图
其中DN =”ou=People,dc=example,dc=com” c. alias
d. size limit
表示返回的符合条件的Entry的数目,0表示返回所有符合条件的Entry。目录服务器端返回一个LDAP_SIZELIMIT_ EXCEEDED。 e. time limit
表示搜索一次所需要的时间,超过时间将停止搜索。服务器端返回一个LDAP_TIMELIMIT_EXCEEDED f. attribute-only
该属性是一个boolean值,如果为true ,表示服务器端之返回所搜索的Entry的属性名称,不返回属性值。 g. filter
通过该属性可以更精确的搜索结果。就像SQL语句中的条件查询。 Filter 分类
1.(sn=smith) 匹配属性sn的值包含smith的Entry
2 (sn=smith*) 匹配属性sn的值以smith开始的所有Entry 如smithers,smithsonain等。其中“*”表示通配符,代表任意字符。
3 (sn~=jensen) 匹配属性sn的值听起来像jensen 的Entry。不同的目录服务器,有不同的实现方法。
4 (age>21)或者(!(age<=21)) 匹配属性age的值大于21的Entry 如果是字符的话,如(sn<=Smith)则按字典顺序进行比较。
5 (telephoneNumber=*) 匹配所有属性telephoneNumber的值不为空的Entry 6 (&(sn=smith)(age>21))匹配属性sn的值包含smith而且属性age的值大于21的Entry
(|(sn=smith)(age>21))匹配属性sn的值包含smith或者属性age的值大于21的Entry
(&(mail=*)(!(telephoneNumber=*)))匹配属性mail的值不为空,而且属性telephoneNumber为空的Entry
7 如果属性的值包含以下五个特殊字符的话必须进行转义 如:(cn=A*Star) 则必须改为(cn=A\\2AStar)
h. return attributes
该属性表示客户的搜索结果中需要返回的和用户相关的属性列表,如果为空表示返回所有属性。
4.LDAP 安全模型
安全模型的作用:是提供一个框架,保护目录中的信息不被非法访问。 LDAP中的安全模型主要通过身份认证、安全通道和访问控制(ACL)来实现
LDAP是一个面向连接的协议,在能够对LDAP目录进行任何操作之前,LDAP客户端必须获得一个到LDAP服务端的一个连接,在这个过程中需要对LDAP客户端的身份进行验证,这一过程可以理解为用户绑定。
LDAPV2 只支持简单的密码验证。
LDAPV3 实现了SASL安全框架,SASL为多种验证协议提供了一种标准的验证方法,对于不同的验证系统,可以实现特定的SASL机制。SASL机制代表了一种验证协议。
在用户通过验证之后,可以为该用户分配附加的权限,比如一些用户只能查看特定的Entry,而不能修改。一些用户可以查看并且修改所有的Entry等。这一过程可以理解为访问控制。
五、 LDIF
LDIF通过一个文本文件,用来描述目录数据,可以将目录服务器中的数据导出到一个LDIF文件中,并且可以将LDIF文件中的数据导入到另一个目录服务器。即使这两个目录服务器内部使用的是不同的数据库格式。
有两种类型的LDIF文件,第一种用来描述Directory目录数据的,第二种包含更新语句,用于更新现有的Directory条目数据。
第一种文件,内容包含两部分:第一部分是DN,第二部分是一系列的属性-值对 如下图:
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库LDAP使用手册(2)在线全文阅读。
相关推荐: