LDAP認證模式簡介

　　今天發現公共服務中有ldap數據庫服務，先大概瞭解一下ldap，轉載下面的文章。原文連接：https://www.jianshu.com/p/d3f8c8f5d661

       另外記錄一篇文章地址：https://blog.csdn.net/qq_19936739/article/details/78331945

 

      

1. 目錄服務

　　目錄是一個爲查詢、瀏覽和搜索而優化的專業分佈式數據庫，它呈樹狀結構組織數據，就好像Linux/Unix系統中的文件目錄同樣
　　目錄數據庫和關係數據庫不一樣，它有優異的讀性能，但寫性能差，而且沒有事務處理、回滾等複雜功能，不適於存儲修改頻繁的數據。因此目錄天生是用來查詢的，就好象它的名字同樣。

　　目錄服務是由目錄數據庫和一套訪問協議組成的系統。相似如下的信息適合儲存在目錄中：

• • 　　企業員工信息，如姓名、電話、郵箱等；
  • 　　公用證書和安全密鑰；
  • 　　公司的物理設備信息，如服務器，它的IP地址、存放位置、廠商、購買時間等；

　　LDAP是輕量目錄訪問協議(Lightweight Directory Access Protocol)的縮寫，LDAP是從X.500目錄訪問協議的基礎上發展過來的，目前的版本是v3.0。與LDAP同樣提供相似的目錄服務軟件還有ApacheDS、Active Directory、Red Hat Directory Service 。

2. LDAP特色

• • 　　結構用樹來表示，而不是表格
           正由於這樣，就不能用SQL語句了
  • 　　能夠很快地獲得查詢結果
    　　不過在寫方面，就慢得多
  • 　　提供了靜態數據的快速查詢方式
  •  　  Client/server模型
           Server 用於存儲數據，Client提供操做目錄信息樹的工具
  • 　　這些工具能夠將數據庫的內容以文本格式（LDAP 數據交換格式，LDIF）呈如今您的面前
  • 　　一種開放Internet標準
          LDAP協議是跨平臺的Interent協議

3. LDAP組織數據的方式

4. 基本概念

4.1 Entry

　　條目，也叫記錄項，是LDAP中最基本的顆粒，就像字典中的詞條，或者是數據庫中的記錄。一般對LDAP的添加、刪除、更改、檢索都是以條目爲基本對象的。
　　dn：每個條目都有一個惟一的標識名（distinguished Name ，DN），如上圖中一個 dn："cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org" 。經過DN的層次型語法結構，能夠方便地表示出條目在LDAP樹中的位置，一般用於檢索。
　　rdn：通常指dn逗號最左邊的部分，如cn=baby。它與RootDN不一樣，RootDN一般與RootPW同時出現，特指管理LDAP中信息的最高權限用戶。
　　Base DN：LDAP目錄樹的最頂部就是根，也就是所謂的「Base DN"，如"dc=mydomain,dc=org"。

4.2 Attribute

　　每一個條目均可以有不少屬性（Attribute），好比常見的人都有姓名、地址、電話等屬性。每一個屬性都有名稱及對應的值，屬性值能夠有單個、多個，好比你有多個郵箱。

　　屬性不是隨便定義的，須要符合必定的規則，而這個規則能夠經過schema制定。好比，若是一個entry沒有包含在 inetorgperson 這個 schema 中的objectClass: inetOrgPerson，那麼就不能爲它指定employeeNumber屬性，由於employeeNumber是在inetOrgPerson中定義的。

　　LDAP爲人員組織機構中常見的對象都設計了屬性(好比commonName，surname)

屬性	別名	語法	描述	值(舉例)
commonName	cn	Directory String	姓名	sean
surname	sn	Directory String	姓	Chow
organizationalUnitName	ou	Directory String	單位（部門）名稱	IT_SECTION
organization	o	Directory String	組織（公司）名稱	example
telephoneNumber		Telephone Number	電話號碼	110
objectClass			內置屬性	organizationalPerson

4.3 ObjectClass

　　對象類是屬性的集合，LDAP預想了不少人員組織機構中常見的對象，並將其封裝成對象類。好比人員（person）含有姓（sn）、名（cn）、電話(telephoneNumber)、密碼(userPassword)等屬性，單位職工(organizationalPerson)是人員(person)的繼承類，除了上述屬性以外還含有職務（title）、郵政編碼（postalCode）、通訊地址(postalAddress)等屬性。

　　經過對象類能夠方便的定義條目類型。每一個條目能夠直接繼承多個對象類，這樣就繼承了各類屬性。若是2個對象類中有相同的屬性，則條目繼承後只會保留1個屬性。對象類同時也規定了哪些屬性是基本信息，必須含有(Must 活Required，必要屬性)：哪些屬性是擴展信息，能夠含有（May或Optional，可選屬性）。

　　對象類有三種類型：結構類型（Structural）、抽象類型(Abstract)和輔助類型（Auxiliary）。結構類型是最基本的類型，它規定了對象實體的基本屬性，每一個條目屬於且僅屬於一個結構型對象類。抽象類型能夠是結構類型或其餘抽象類型父類，它將對象屬性中共性的部分組織在一塊兒，稱爲其餘類的模板，條目不能直接集成抽象型對象類。輔助類型規定了對象實體的擴展屬性。每一個條目至少有一個結構性對象類。

　　對象類自己是能夠相互繼承的，因此對象類的根類是top抽象型對象類。以經常使用的人員類型爲例，他們的繼承關係：

　　下面是inetOrgPerson對象類的在schema中的定義，能夠清楚的看到它的父類SUB和可選屬性MAY、必要屬性MUST(繼承自organizationalPerson)，關於各屬性的語法則在schema中的attributetype定義。

# inetOrgPerson
# The inetOrgPerson represents people who are associated with an
# organization in some way.  It is a structural class and is derived
# from the organizationalPerson which is defined in X.521 [X521].
objectclass     ( 2.16.840.1.113730.3.2.2
    NAME 'inetOrgPerson'
        DESC 'RFC2798: Internet Organizational Person'
    SUP organizationalPerson
    STRUCTURAL
        MAY (
                audio $ businessCategory $ carLicense $ departmentNumber $
                displayName $ employeeNumber $ employeeType $ givenName $
                homePhone $ homePostalAddress $ initials $ jpegPhoto $
                labeledURI $ mail $ manager $ mobile $ o $ pager $
                photo $ roomNumber $ secretary $ uid $ userCertificate $
                x500uniqueIdentifier $ preferredLanguage $
                userSMIMECertificate $ userPKCS12 )
        )

4.4 Schema

　　對象類（ObjectClass）、屬性類型（AttributeType）、語法（Syntax）分別約定了條目、屬性、值，他們之間的關係以下圖所示。因此這些構成了模式(Schema)——對象類的集合。條目數據在導入時一般須要接受模式檢查，它確保了目錄中全部的條目數據結構都是一致的。　　

　　schema（通常在/etc/ldap/schema/目錄）在導入時要注意先後順序。

4.5 backend & database

　　ldap的後臺進程slapd接收、響應請求，但實際存儲數據、獲取數據的操做是由Backends作的，而數據是存放在database中，因此你能夠看到每每你能夠看到backend和database指令是同樣的值如 bdb 。一個 backend 能夠有多個 database instance，但每一個 database 的 suffix 和 rootdn 不同。openldap 2.4版本的模塊是動態加載的，因此在使用backend時須要moduleload back_bdb指令。

　　bdb是一個高性能的支持事務和故障恢復的數據庫後端，能夠知足絕大部分需求。許多舊文檔裏（包括官方）說建議將bdb做爲首選後端服務（primary backend），但2.4版文檔明確說hdb纔是被首先推薦使用的，這從 2.4.40 版默認安裝後的配置文件裏也能夠看出。hdb是基於bdb的，可是它經過擴展的索引和緩存技術能夠加快數據訪問，修改entries會更有效率，有興趣能夠訪問上的連接或slapd.backends。

　　另外config是特殊的backend，用來在運行時管理slapd的配置，它只能有一個實例，甚至無需顯式在slapd.conf中配置。

4.6 TLS & SASL

　　分佈式LDAP 是以明文的格式經過網絡來發送信息的，包括client訪問ldap的密碼（固然通常密碼已然是二進制的），SSL/TLS 的加密協議就是來保證數據傳送的保密性和完整性。

　　SASL （Simple Authenticaion and Security Layer）簡單身份驗證安全框架，它可以實現openldap客戶端到服務端的用戶驗證，也是ldapsearch、ldapmodify這些標準客戶端工具默認嘗試與LDAP服務端認證用戶的方式（前提是已經安裝好 Cyrus SASL）。SASL有幾大工業實現標準：Kerveros V五、DIGEST-MD五、EXTERNAL、PLAIN、LOGIN。

　　Kerveros V5是裏面最複雜的一種，使用GSSAPI機制，必須配置完整的Kerberos V5安全系統，密碼再也不存放在目錄服務器中，每個dn與Kerberos數據庫的主體對應。DIGEST-MD5稍微簡單一點，密碼經過saslpasswd2生成放在sasldb數據庫中，或者將明文hash存到LDAP dn的userPassword中，每個authid映射成目錄服務器的dn，常和SSL配合使用。參考將 LDAP 客戶端配置爲使用安全性

　　EXTERNAL通常用於初始化添加schema時使用，如ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif。

4.7 LDIF

　　LDIF（LDAP Data Interchange Format，數據交換格式）是LDAP數據庫信息的一種文本格式，用於數據的導入導出，每行都是「屬性: 值」對，見 openldap ldif格式示例

　　OpenLDAP(2.4.3x)服務器安裝配置方法見這裏。