LDAP 簡介

爲啥用LDAP，固然是爲了統一認證啦。爲啥要用統一認證？話說你家裏有十臺八臺機器的時候，你能夠手動去建立帳號，維護帳號，有人來了，咱們開心快樂的去開帳號，有人走了咱們在緬懷一下去關帳號，科學一點你可使用ansible或者saltstack 等自動化工具來幹這事，but 當你的機器成千上萬的時候呢？或者你的人頭成千上萬的時候呢？那個時候就不是開心快樂的去開了吧？這個時候統一的帳號認證系統就是你的利器了！另外從長遠考慮，不管你管理的機器規模有多大，最好有這樣的統一認證體系，打好基礎萬一哪天大家公司業務量暴增了，你就能少抄不少心，少幹不少活，就能夠用這個時間泡泡妞，聊聊M的不是挺好！認證系統能夠用微軟的AD，不過要花銀子，花銀子老闆就不高興，加上咱們運維人員都是Linux派，對windows 。。。！因此OpenLdap就是咱們減預算，哄老闆開心，開通統一認證平臺的居家旅行必備利器了！
一，LDAP 協議簡介
工欲善其事，必先利其器，仍是要先來了解一下LDAP協議的相關內容:
LDAP是一款輕量級目錄訪問協議（Lightweight Directory Access Protocol，簡稱LDAP），屬於開源集中帳號管理架構的實現，且支持衆多系統版本，被廣大互聯網公司所採用。
LDAP提供並實現目錄服務的信息服務，目錄服務是一種特殊的數據庫系統，對於數據的讀取、瀏覽、搜索有很好的效果。目錄服務通常用來包含基於屬性的描述性信息並支持精細複雜的過濾功能，但OpenLDAP目錄服務不支持通用數據庫的大量更新操做所須要的複雜的事務管理或回滾策略等。
LDAP具備兩個標準，分別是X.500和LDAP。OpenLDAP是基於X.500標準的，並且去除了X.500複雜的功能而且能夠根據自我需求定製額外擴展功能，但與X.500也有不一樣之處，例如OpenLDAP支持TCP/IP協議等，目前TCP/IP是Internet上訪問互聯網的協議。
OpenLDAP能夠直接運行在更簡單和更通用的TCP/IP或其餘可靠的傳輸協議層上，避免了在OSI會話層和表示層的開銷，使鏈接的創建和包的處理更簡單、更快，對於互聯網和企業網應用更理想。
OpenLDAP目錄中的信息是以樹狀的層次結構來存儲數據（這很類同於DNS），最頂層即根部稱做「基準DN」，形如「dc=mydomain,dc=org」或者「o=mydomain.org」，前一種方式更爲靈活也是Windows AD中使用的方式。在根目錄的下面有不少的文件和目錄，爲了把這些大量的數據從邏輯上分開，OpenLDAP像其它的目錄服務協議同樣使用OU（Organization Unit，組織單元），能夠用來表示公司內部機構，如部門等，也能夠用來表示設備、人員等。同時OU還能夠有子OU，用來表示更爲細緻的分類。
OpenLDAP中每一條記錄都有一個惟一的區別於其它記錄的名字DN（Distinguished Name）,其處在「葉子」位置的部分稱做RDN(用戶條目的相對標識名)。如dn:cn=tom,ou=ops,dc=company,dc=com中cn即爲RDN，而RDN在一個OU中必須是惟一的。
OpenLDAP默認以Berkeley DB做爲後端數據庫，BerkeleyDB數據庫主要以散列的數據類型進行數據存儲，如以鍵值對的方式進行存儲。
BerkeleyDB是一類特殊的面向查詢進行優化、面向讀取進行優化的數據庫，主要用於搜索、瀏覽、更新查詢操做，通常對於一次寫入數據、屢次查詢和搜索有很好的效果。BerkeleyDB不支持事務型數據庫(MySQL、MariDB、Oracle等)所支持的高併發的吞吐量以及複雜的事務操做。
LDAP 先關的名稱介紹：
Attribute type Attribute value
c 國家
dc domain component，經常使用來指一個域名的一部分
cn common name,一個對象的名字，若是指人，使用全名
ou 一個組織單元的名字
sn Surname，一我的的姓
uid Userid，某個用戶的登陸名，與Linux系統中用戶的uid不一樣
o 組織的名字

(4)DN: Distinguished Name，每一個葉子結點到根的路徑就是DN
如: cn=test, ou=ou1, o=zhangyang.com
(5)RDN: Relative Distinguished Name，葉子結點自己的名字是RDN
如:test就是RDN
(6)Base DN: 基準DN，指定LDAP search的起始DN,即從哪一個DN下開始搜索
搜索組織單元爲ou1，則base DN爲 ou=ou1,o=O

ou=ou1,o=zhangyang.com 或 ou=ou1,dc=zhangyang, dc=com
x.500 協議名詞
DSA directory system agent 目錄系統代理
DIT Directory information tree 目錄信息樹
DUA directory user agent 目錄用戶代理
DSP directory system protocol 目錄系統協議