openldap 資料

LDAP概念和原理介紹

相信對於許多的朋友來講，可能據說過LDAP，可是實際中對LDAP的瞭解和具體的原理可能還比較模糊，今天就從「什麼是LDAP」、「LDAP的主要產品」、「LDAP的基本模型」、「LDAP的使用案例」四個方面來作一個介紹。

咱們在開始介紹以前先來看幾個問題：

1. 咱們平常的辦公系統是否是有多個？

2. 每一個系統之間是否是都有獨立的帳號密碼？

3. 密碼多了，有時候半天想不起來哪一個密碼對應哪一個系統？

4. 每次新項目的開發，都須要從新開發和維護一套用戶密碼？

5. 維護多套系統的用戶是否是很是頭疼？

So，現在你們不再用爲上面的的問題頭疼了，由於「LDAP統一認證服務」已經幫助你們解決這些問題了。那麼相信你們對「LDAP統一認證服務」是幹嗎的已經有一個大概的瞭解了吧？那咱們開始今天要講解的內容吧！

1、什麼是LDAP？

（一）在介紹什麼是LDAP以前，咱們先來複習一個東西：「什麼是目錄服務？」

　　　　1. 目錄服務是一個特殊的數據庫，用來保存描述性的、基於屬性的詳細信息，支持過濾功能。

　　　　2. 是動態的，靈活的，易擴展的。

　　　　如：人員組織管理，電話簿，地址簿。

（二）瞭解完目錄服務後，咱們再來看看LDAP的介紹：

LDAP（Light Directory Access Portocol），它是基於X.500標準的輕量級目錄訪問協議。

目錄是一個爲查詢、瀏覽和搜索而優化的數據庫，它成樹狀結構組織數據，相似文件目錄同樣。

目錄數據庫和關係數據庫不一樣，它有優異的讀性能，但寫性能差，而且沒有事務處理、回滾等複雜功能，不適於存儲修改頻繁的數據。因此目錄天生是用來查詢的，就好象它的名字同樣。

LDAP目錄服務是由目錄數據庫和一套訪問協議組成的系統。

（三）爲何要使用

LDAP是開放的Internet標準，支持跨平臺的Internet協議，在業界中獲得普遍承認的，而且市場上或者開源社區上的大多產品都加入了對LDAP的支持，所以對於這類系統，不需單獨定製，只須要經過LDAP作簡單的配置就能夠與服務器作認證交互。「簡單粗暴」，能夠大大下降重複開發和對接的成本。

咱們拿開源系統（YAPI）作案例，只需作一下簡單的幾步配置就能夠達到LDAP的單點登陸認證了：

 

{ "ldapLogin": { "enable": true, "server": "ldap://l-ldapt1.ops.dev.cn0.qunar.com", "baseDn": "CN=Admin,CN=Users,DC=test,DC=com", "bindPassword": "password123", "searchDn": "OU=UserContainer,DC=test,DC=com", "searchStandard": "mail" } }

 

是否是很方便呢？

 

2、LDAP的主要產品

細心的朋友應該會主要到，LDAP的中文全稱是：輕量級目錄訪問協議，說到底LDAP僅僅是一個訪問協議，那麼咱們的數據究竟存儲在哪裏呢？

來，咱們一塊兒看下下面的表格：

廠商	產品	介紹
SUN	SUNONE Directory Server	基於文本數據庫的存儲，速度快 。
IBM	IBM Directory Server	基於DB2 的的數據庫，速度通常。
Novell	Novell Directory Server	基於文本數據庫的存儲，速度快, 不經常使用到。
Microsoft	Microsoft Active Directory	基於WINDOWS系統用戶，對大數據量處理速度通常，但維護容易，生態圈大，管理相對簡單。
Opensource	Opensource	OpenLDAP 開源的項目，速度很快，可是非主 流應用。

 

 沒錯，這就是正常存儲數據的地方，而訪問這些數據就是經過咱們上述所說的LDAP。相信到這裏你們應該瞭解二者之間的關係了吧！

3、LDAP的基本模型

每個系統、協議都會有屬於本身的模型，LDAP也不例外，在瞭解LDAP的基本模型以前咱們須要先了解幾個LDAP的目錄樹概念：

（一）目錄樹概念

1. 目錄樹：在一個目錄服務系統中，整個目錄信息集能夠表示爲一個目錄信息樹，樹中的每一個節點是一個條目。

2. 條目：每一個條目就是一條記錄，每一個條目有本身的惟一可區別的名稱（DN）。

3. 對象類：與某個實體類型對應的一組屬性，對象類是能夠繼承的，這樣父類的必須屬性也會被繼承下來。

4. 屬性：描述條目的某個方面的信息，一個屬性由一個屬性類型和一個或多個屬性值組成，屬性有必須屬性和非必須屬性。

（二）DC、UID、OU、CN、SN、DN、RDN

關鍵字	英文全稱	含義
dc	Domain Component	域名的部分，其格式是將完整的域名分紅幾部分，如域名爲example.com變成dc=example,dc=com（一條記錄的所屬位置）
uid	User Id	用戶ID songtao.xu（一條記錄的ID）
ou	Organization Unit	組織單位，組織單位能夠包含其餘各類對象（包括其餘組織單元），如「oa組」（一條記錄的所屬組織）
cn	Common Name	公共名稱，如「Thomas Johansson」（一條記錄的名稱）
sn	Surname	姓，如「許」
dn	Distinguished Name	「uid=songtao.xu,ou=oa組,dc=example,dc=com」，一條記錄的位置（惟一）
rdn	Relative dn	相對辨別名，相似於文件系統中的相對路徑，它是與目錄樹結構無關的部分，如「uid=tom」或「cn= Thomas Johansson」

 

 （三）基本模型：

信息模型：

　　命名模型：

　　

　　功能模型：

　　

　　安全模型：

　　

4、LDAP的使用

　　那咱們是如何訪問LDAP的數據庫服務器呢？

　　

　　統一身份認證主要是改變原有的認證策略，使須要認證的軟件都經過LDAP進行認證，在統一身份認證以後，用戶的全部信息都存儲在AD Server中。終端用戶在須要使用公司內部服務的時候，都須要經過AD服務器的認證。

　　那麼程序中是如何訪問的呢？ 咱們以PHP腳本做爲例子：

$ldapconn = ldap_connect(「10.1.8.78") $ldapbind = ldap_bind($ldapconn, 'username', $ldappass); $searchRows= ldap_search($ldapconn, $basedn, "(cn=*)"); $searchResult = ldap_get_entries($ldapconn, $searchRows); ldap_close($ldapconn);

1. 鏈接到LDAP服務器；

2. 綁定到LDAP服務器；

3. 在LDAP服務器上執行所需的任何操做；

4. 釋放LDAP服務器的鏈接；

 

 　　這章就只介紹LDAP的一些概念和基本的原理，代碼的操做下一章再展開來說錯或講的很差的地方，還望指教！~

 

ldap簡要介紹

　　目錄服務是一個特殊的數據庫，它爲讀，瀏覽和搜索進行了優化。目錄能夠用來保存描述性的，基於屬性的信息，而且支持複雜的過濾搜索能力。目錄一般不支持在通常的數據庫管理系統中支持的複雜的事務處理或者回滾機制——這些機制是爲處理大容量的複雜更新操做而設計的。目錄更新只是簡單的「全部或者沒有」的更新——若是它們被容許的話。目錄被優化爲針對大量的查找或者搜索操做進行快速的響應。它們能夠具備大範圍複製信息的功能，以便提升可用性和可靠性，同時縮短響應時間。

　　LDAP是輕量目錄訪問 協議，英文全稱是Lightweight Directory Access Protocol， 通常都簡稱爲LDAP。它是基於X.500標 準的，可是簡單多了而且能夠根據須要定製。與X.500不一樣，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP的核心規範在RFC中都有定義，全部與LDAP相關的RFC均可以在LDAPman RFC網頁中找到。
　　
　　LDAP是 一個用來發布目錄信息到許多不一樣資源的協議。一般它都做爲一個集中的地址本使用，不過根據組織者的須要，它能夠作得更增強大。
　　1.2. LDAP是電話簿
　　LDAP其 實是一電話簿，相似於咱們所使用諸如NIS(Network Information Service)、DNS (Domain Name Service)等網絡目錄，也相似於你在花園中所看到的樹木。
　　1.3. LDAP是否是數據庫
　　很多LDAP開 發人員喜歡把LDAP與關係數據庫相比，認爲是另外一種的存貯方式，而後在讀性能上進行比較。實際 上，這種對比的基礎是錯誤的。LDAP和關係數據庫是兩種不一樣層次的概念，後者是存貯方式（同一層 次如網格數據庫，對象數據庫），前者是存貯模式和訪問協議。LDAP是一個比關係數據庫抽象層次更 高的存貯概念，與關係數據庫的查詢語言SQL屬同一級別。LDAP最 基本的形式是一個鏈接數據庫的標準方式。該數據庫爲讀查詢做了優化。所以它能夠很快地獲得查詢結果，不過在其它方面，例如更新，就慢得多。
　　從另外一個意義上 LDAP是實現了指定的數 據結構的存貯，它是一種特殊的數據庫。可是LDAP和通常的數據庫不一樣，明白這一點是很重要的。 LDAP對查詢進行了優化，與寫性能相比LDAP的 讀性能要優秀不少。
　　就象Sybase、Oracle、Informix或Microsoft的數據庫管理系統（DBMS）是用於 處理查詢和更新關係型數據庫那樣，LDAP服務器也是用來處理查詢和更新LDAP目錄的。換句話來講LDAP目錄也是一種類型的 數據庫，但不是關係型數據庫。要特別注意的是，LDAP一般做爲一個hierarchal數據庫使用，而不是一個關係數據庫。所以，它的結構用樹來表示比用表格好。正由於這樣，就 不能用SQL語句了。
　

ladp-　2. LDAP的特色

　　2.1. LDAP的優點
　　2.1.1 跨平臺
　 　LDAP最大的優點是：能夠在任何計算機平臺上，用很容易得到的並且數目不斷增長的LDAP的客戶端程序訪問LDAP目錄。並且也很容易定 制應用程序爲它加上LDAP的支持。
　 　LDAP協議是跨平臺的和標準的協議，所以應用程序就不用爲LDAP目錄放在什麼樣的服務器上操心了。實際上，LDAP得 到了業界的普遍承認，由於它是Internet的標準。產商都很願意在產品中加入對LDAP的支持，由於他們根本不用考慮另外一端（客戶端或服務端）是怎麼樣的。LDAP服務器能夠是任何一個開發源代碼或商用的LDAP目 錄服務器（或者還多是具備LDAP界面的關係型數據庫），由於能夠用一樣的協議、客戶端鏈接軟件 包和查詢命令與LDAP服務器進行交互。與LDAP不 同的是，若是軟件產商想在軟件產品中集成對DBMS的支持，那麼一般都要對每個數據庫服務器單獨 定製。
　　2.1.2 費用及維護
　　不象不少商用的關係型數據庫，你沒必要爲LDAP的 每個客戶端鏈接或許可協議付費。
　　大多數的LDAP服 務器安裝起來很簡單，也容易維護和優化。
　　2.1.3 復 制技術
　　LDAP服務器能夠用"推"或"拉"的方法複製部分或所有數據，例如：能夠把數據"推"到遠程的辦公室，以增長數據的安全性。複製技術是內置在LDAP服 務器中的並且很容易配置。若是要在DBMS中使用相同的複製功能，數據庫產商就會要你支付額外的費 用，並且也很難管理。
　　2.1.4 允 許使用ACI
　　LDAP容許你根 據須要使用ACI（通常都稱爲ACL或者訪 問控制列表）控制對數據讀和寫的權限。例如，設備管理員能夠有權改變員工的工做地點和辦公室號碼，可是不容許改變記錄中其它的域。ACI能夠根據誰訪問數據、訪問什麼數據、數據存在什麼地方以及其它對數據進行訪問控制。由於這些都是由LDAP目錄服務器完成的，因此不用擔憂在客戶端的應用程序上是否要進行安全檢查。
　　2.2. LDAP存儲什麼數據
　　LDAP對 於這樣存儲這樣的信息最爲有用：也就是數據須要從不一樣的地點讀取，可是不須要常常更新。例如，這些信息存儲在LDAP目 錄中是十分有效的：
　　l 公司員 工的電話號碼簿和組織結構圖
　　l 客 戶的聯繫信息
　　l 計算機管理需 要的信息，包括NIS映射、email假 名，等等
　　l 軟件包的配置信息
　　l 公用證書和安全密匙
　　2.3. 什 麼時候該用LDAP存儲數據
　　大多數的LDAP服 務器都爲讀密集型的操做進行專門的優化。所以，當從LDAP服務器中讀取數據的時候會比從專門爲OLTP優化的關係型數據庫中讀取數據快一個數量級。也是由於專門爲讀的性能進行優化，大多數的LDAP目錄服務器並不適合存儲須要須要常常改變的數據。例如，用LDAP服 務器來存儲電話號碼是一個很好的選擇，可是它不能做爲電子商務站點的數據庫服務器。
　　如 果下面每個問題的答案都是"是"，那麼把 數據存在LDAP中就是一個好主意。
　 　l 須要在任何平臺上都能讀取數據嗎？
　 　l 每個單獨的記錄項是否是每一天都只有不多的改變？
　 　l 能夠把數據存在平面數據庫（flat database）而不是關係型數據庫中嗎？換句話來講，也就是無論什麼範式不範式的，把全部東西都存在一個記錄中（差很少只要知足第一範 式）。
　　最後一個問題可能會唬住一些人，其實用平面數據庫去存儲一些關係型的數據也是很 通常的。例如，一條公司員工的記錄就能夠包含經理的登陸名。用LDAP來存儲這類信息是很方便的。 一個簡單的判斷方法：若是能夠把保數據存在一張張的卡片裏，就能夠很容易地把它存在LDAP目錄 裏。
　

ladp-　3. LDAP的基本模型

　　3.1 信息模型：描述LDAP的信息表示方式
　　在LDAP中 信息以樹狀方式組織，在樹狀信息中的基本數據單元是條目，而每一個條目由屬性構成，屬性中存儲有屬性值；LDAP中 的信息模式，相似於面向對象的概念，在LDAP中每一個條目必須屬於某個或多個對象類（Object Class），每一個Object Class由 多個屬性類型組成，每一個屬性類型有所對應的語法和匹配規則；對象類和屬性類型的定義都可以使用繼承的概念。每一個條目建立時，必須定義所屬的對象類，必須提 供對象類中的必選屬性類型的屬性值，在LDAP中一個屬性類型能夠對應多個值。
　　在LDAP中把對象類、屬性類型、語法和匹 配規則統稱爲Schema，在LDAP中有 許多系統對象類、屬性類型、語法和匹配規則，這些系統Schema在LDAP標準中進行了規定，同時不一樣的應用領域也定義了本身的Schema， 同時用戶在應用時，也能夠根據須要自定義Schema。這有些相似於XML，除了XML標準中的XML定義外，每一個行業都有本身標準的DTD或DOM定義，用戶也能夠自擴展；也如同XML，在LDAP中也鼓勵用戶儘可能使用標準的Schema，以 加強信息的互聯互通。
　　在Schema中 最難理解的是匹配規則，這是LDAP中爲了加快查詢的速度，針對不一樣的數據類型，能夠提供不一樣的匹 配方法，如針對字符串類型的相等、模糊、大於小於均提供本身的匹配規則。
　　3.2 命名模型：描述LDAP中的數據如何組織
　　LDAP中 的命名模型，也即LDAP中的條目定位方式。在LDAP中 每一個條目均有本身的DN和RDN。DN是該條目在整個樹中的惟一名稱標識，RDN是條目 在父節點下的惟一名稱標識，如同文件系統中，帶路徑的文件名就是DN，文件名就是RDN。
　　3.3 功能模型：描述LDAP中的數據操做訪問
　　在LDAP中 共有四類10種操做：查詢類操做，如搜索、比較；更新類操做，如添加條目、刪除條目、修改條目、修 改條目名；認證類操做，如綁定、解綁定；其它操做，如放棄和擴展操做。除了擴展操做，另外9種是LDAP的標準操做；擴展操做是LDAP中爲了增長新 的功能，提供的一種標準的擴展框架，當前已經成爲LDAP標準的擴展操做，有修改密碼和StartTLS擴展，在新的RFC標準和草案中正在 增長一些新的擴展操做，不一樣的LDAP廠商也均定義了本身的擴展操做。
　　3.4 安 全模型：描述LDAP中的安全機制
　　LDAP中的安全模型主要經過身份認證、安全通道和訪問控制來實現。
　 　3.4.1 身份認證
　　在LDAP中提供三種認證機制，即匿名、基 本認證和SASL（Simple Authentication and Secure Layer）認證。匿名認證即不對用戶進行認證，該方法僅對徹底公開的方式適用；基 本認證均是經過用戶名和密碼進行身份識別，又分爲簡單密碼和摘要密碼認證；SASL認證即LDAP提供的在SSL和TLS安全通道基礎上進行的身份認證，包括數字證書的認證。
　 　3.4.2 通信安全
　　在LDAP中提供了基於SSL/TLS的通信安全保障。SSL/TLS是基於PKI信息安全技術，是目前Internet上普遍採用的安全服務。LDAP經過StartTLS方式啓動TLS服務，能夠提供通信中 的數據保密性、完整性保護；經過強制客戶端證書認證的TLS服務，同時能夠實現對客戶端身份和服務 器端身份的雙向驗證。
　　3.4.3 訪 問控制
　　雖然LDAP目前並沒有訪 問控制的標準，但從一些草案中或是事實上LDAP產品的訪問控制狀況，咱們不難看出：LDAP訪問控制異常的靈活和豐富，在LDAP中是基於 訪問控制策略語句來實現訪問控制的，這不一樣於現有的關係型數據庫系統和應用系統，它是經過基於訪問控制列表來實現的，不管是基於組模式或角色模式，都擺脫 不了這種限制。
　　在使用關係型數據庫系統開發應用時，每每是經過幾個固定的數據庫用戶名 訪問數據庫。對於應用系統自己的訪問控制，一般是須要創建專門的用戶表，在應用系統內開發針對不一樣用戶的訪問控制受權代碼，這樣一旦訪問控制策略變動時， 每每須要代碼進行變動。總之一句話，關係型數據庫的應用中用戶數據管理和數據庫訪問標識是分離的，複雜的數據訪問控制須要經過應用來實現。
　　而對於LDAP，用戶數據管理和訪問標識是 一體的，應用不須要關心訪問控制的實現。這是因爲在LDAP中的訪問控制語句是基於策略語句來實現 的，不管是訪問控制的數據對象，仍是訪問控制的主體對象，均是與這些對象在樹中的位置和對象自己的數據特徵相關。
　 　在LDAP中，能夠把整個目錄、目錄的子樹、制定條目、特定條目屬性集或符合某過濾條件的條目做 爲控制對象進行受權；能夠把特定用戶、屬於特定組或全部目錄用戶做爲受權主體進行受權；最後，還能夠定義對特定位置（例如IP地址或DNS名稱）的訪問權。
　　

ladp-4. LDAP數 據結構

　　LDAP是實現了指定的數據結構的 存貯，它包括如下能夠用關係數據庫實現的結構要求：樹狀組織、條目認證、類型定義、許可樹形記錄拷貝。
　 　4.1 樹 狀組織
　 　不管是X500仍是LDAP都是採用樹狀 方式進行記錄。每個樹目錄都有一個樹根的入口條目，子記錄所有是這一根條目的子孫。這是目錄與關係數據類型最大的區別（關係數據庫的應用結構也可實現樹 狀記錄）。所以，把目錄看做是更高級的樹狀數據庫也何嘗不可，只不過除此外，它不能實現關係存貯的重要功能。
　 　4.2 條 目和條目認證
　 　LDAP是以條目做爲認證的根據。ROOT的 權限認證與目錄自己無關，但除此外全部條目的認證權限由條目自己的密碼進行認證。LDAP能夠配置 成各類各樣不一樣的父子條目權限繼承方式。
　　每個條目至關於一個單一的平面文本記錄，由 條目自身或指定的條目認證進行訪問控制。所以，LDAP定義的存貯結構等同於一批樹狀組織的平面數 據庫，並提供相應的訪問控制。
　　條目中的記錄以名-值 對的形式存在，每個名值對必須由數據樣式schema預約義。所以，LDAP能夠看做是以規定的值類型以名值對形式存貯在一系列以樹狀組織的平面數據庫的記錄的集合。
　　4.3 數 據樣式（schema）
　　數據樣式schema是 針對不一樣的應用，由用戶指定（設計）類和屬性類型預約義，條目中的類(objectclass)和 屬性必須在在LDAP服務器啓動時載入內存的schema已 有定義。所以，AD活動目錄中的條目記錄就必須符合Active Directory的schema中。若是已提供的schema中的定義不夠用，用戶能夠自行定義新的schema.
　 　在http://ldap.akbkhome.com/index.php中能夠看到經常使用的schema。
　　4.4 對象類型(objectClass)
　　由於LDAP目 錄能夠定製成存儲任何文本或二進制數據，到底存什麼要由你本身決定。LDAP目錄用對象類型（objectclass）的概念來定義運行哪一類的對象使用什麼屬性。在幾乎全部的LDAP服務器中，你都要根據本身的須要擴展基本的LDAP目 錄的功能，建立新的對象類型或者擴展示存的對象類型。
　　條目中的記錄經過objectclass實現分類，objectClass是 一個繼承性的類定義，每個類定義指定必須具有的屬性。如某一條目指定必須符合某個類型，則它必須具有超類所指定的屬性。
　　經過objectclass分類，分散的條 目中的記錄就實際上創建了一個索引結構，爲高速的讀查詢打下了基礎。Objectclass也是過 濾器的主要查詢對象。
　　4.5 過濾器和語法
　　LDAP是一個查詢爲主的記錄結構，不管是何種查詢方式，最終都由過濾器缺點查詢的條件。過濾器至關於SQL中的WHERE子句。任何LDAP的類過濾和字符串都必須放在括號內，如（objectclass=*）,指列出全部類型的記錄（不過度類）。
　　可 以使用=，>=，<=，~=（約等於）進行比較，如(number<=100)。合併條件是最怪的，必須把操做符放在兩個操做對象的前面而不是中間，單一操 做對象用括號括起來。如
　　l A與B，不是A&B，而是（&(A)(B)）。
　　l 或使用"|"表示；
　　l 非使用"！"表示。
　 　l 對於"與"，或"或"在 操做符後能夠跟多個條件表達式，但非後則只參是單個表達式。
　　詳見RFC1558。
　　4.6 樹移植
　　LDAP最 重要的特性和要求並非讀性能，而是擴展性。這一特性是經過樹移植和樹複製實現的。按LDAP的RFC要求，LDAP目錄應該能夠任意地在不一樣的目錄 間鏈接、合併並實現自動複製，及自動性同步。這意味着用戶能夠在任一LDAP中訪問條目，而不用管 其中某一部分是否複製自全世界另外一目錄中的記錄，同時另外一目錄中的記錄一樣在正常運做。
　 　這一特性若是在關係數據庫中實現，意味着要使用程序化的非規範化預複製。相似於彙總帳目的設計。
　 　4.7 LDIF交 換文件
　 　LDIF是LDAP約定的記錄交換格式， 以平面文本的形式存在，是大部分LDAP內容交換的基礎，如拷貝、添加、修改等操做，都是基於LDIF文件進行操做。
　　4.8 JAVA或CORBA對象串行化存儲
　　網絡高效率的訪問加上JAVA的跨平臺能力，當把JAVA或CORBA對象串行化後存儲到LDAP目錄上時，能夠產 生非同通常的集成效果--實際上，這正是EJB和.NET的網絡定位基礎技術。
　　使用JAVA或CORBA對象存儲時，必須首先讓LDAP服務支持該對象定義，也就是說包含qmail.schema或corba.schema。
　　JAVA必須存儲在objectclass=javacontainer的 條目中，並且必須帶有cn屬性，這意味着除非該JAVA類 專門實現了DirContext接口，對於大多數JAVA類 來講，只能採用DirContext代替Context實 現bind的添加操做。取出JAVA類相對 要簡單得多，只需使用context.lookup()得到該對象的句柄，而後強制造型成所須要的 對象就能夠了,如：
　　Person p=(Person)contex.lookup("cn=elvis,dc=daifu,dc=com");
　　這個句法在EJB的程序中，是常常用到的。
　　使用CORBA的跨語言性質，使用CORBA存儲對象比JAVA更加誘人，這意味着所存儲的對象能夠被任何語言編寫的客戶端訪問。其實，微軟的.net說到底也很是簡單，無非是把COM對象存儲到微 軟自家的目錄ActiveDirectory裏面，從而能夠在網絡範圍內使用任何微軟平臺的語言進 行對象訪問而已。衆所周知，COM就是與CORBA相 對的微軟規範。
　　使用對象串行化技術，能夠把經常使用對象如某個打印機，某個客戶直接存儲到LDAP中，而後快速獲取該對象的引用，這樣，就比把對象信息存儲到關係數據庫中，分別取出屬性，而後再初始 化對象操做的作法，效率要高得多了。這是LDAP目前比普通關係數據庫存儲要優秀的地方，而對象數 據庫還不成熟.

表1、LDAP經常使用的關鍵字：

關鍵字	英文全稱	含義
dc	Domain Component	域名的部分，其格式是將完整的域名分紅幾部分，如域名爲example.com變成dc=example,dc=com
uid	User Id	用戶ID，如「tom」
ou	Organization Unit	組織單位，相似於Linux文件系統中的子目錄，它是一個容器對象，組織單位能夠包含其餘各類對象（包括其餘組織單元），如「market」
cn	Common Name	公共名稱，如「Thomas Johansson」
sn	Surname	姓，如「Johansson」
dn	Distinguished Name	唯一辨別名，相似於Linux文件系統中的絕對路徑，每一個對象都有一個唯一的名稱，如「uid= tom,ou=market,dc=example,dc=com」，在一個目錄樹中DN老是唯一的
rdn	Relative dn	相對辨別名，相似於文件系統中的相對路徑，它是與目錄樹結構無關的部分，如「uid=tom」或「cn= Thomas Johansson」
c	Country	國家，如「CN」或「US」等。
o	Organization	組織名，如「Example, Inc.」

表一 LDAP經常使用的關鍵字列表