系統安全-LDAP

LDAP服務器

1.目錄服務 

目錄是一個爲查詢、瀏覽和搜索而優化的專業分佈式數據庫，它呈樹狀結構組織數據，就好像Linux/Unix系統中的文件目錄同樣。目錄數據庫和關係數據庫不一樣，它有優異的讀性能，可是寫性能差，並且沒有事務處理、回滾等複雜功能，不適於存儲修改頻繁的數據。因此目錄天生是用來查詢的，就好像它的名字同樣。

目錄服務是由目錄數據庫和一套訪問協議組成的系統。相似於如下的信息適合存儲在目錄中：

• 企業員工信息，如姓名、電話、郵箱等；
• 公用證書和安全密鑰
• 公司的物理設備信息，如服務器、它的IP地址、存放位置、廠商、購買時間等。

LDAP是輕量目錄訪問協議（Lightweight Directory Access Protocol）的縮寫，LDAP是從X.500目錄訪問協議的基礎上發展過來的，目前的版本是V3.0。與LDAP同樣聽相似的目錄服務軟件還有：ApacheDS、Active Directory、Red Hat Directory Service。

2.LDAP特色 

• LDAP的結構用樹來標識，而不是用表格。正由於這樣，就不能用SQL語句了
• LDAP能夠很快地獲得查詢結果，不過在寫方面，就慢得多
• LDAP提供了靜態數據的快速查詢方式
• Client/Server模型，Server用於存儲數據，Client提供操做目錄信息樹的工具
• 這些工具能夠將數據庫的內容以文本格式（LDAP數據交換格式，LDIF）呈如今你的面前
• LDAP是一種開放Internet標準，LDAP協議是跨平臺的Internet協議

3.LDAP組織數據的方式  

4.基本概念  

在瀏覽LDAP相關文檔時常常會預檢一些概念，下面是常見概念的簡單解釋

4.1 Entry

條目，也叫記錄項，是LDAP中最基本的顆粒，就想字典中的詞條，或者是數據庫中的記錄。一般對LDAP的添加、刪除、更改、檢索都是以條目爲基本對象的。

dn：每個條目都有一個惟一的標識名（distinguished Name，DN），如上圖中一個dn： 「cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org」。經過DN的層次型語法結構，能夠方便地表示出條目在LDAP樹中的位置，一般用於檢索。

rdn：通常指dn逗號最左邊的部分，如cn=baby。它與ROotDN不一樣，RootDN一般與RootPW同時出現，特指管理LDAP中信息的最高權限用戶。

Base DN：LDAP目錄樹的最頂部就是根，也就是所謂的「Base DN」，如「dc=mydomain，dc=org」

4.2 Attribute 

每一個條目均可以有不少屬性（Attribute），好比常見的人都有姓名、地址、電話等屬性 。每一個屬性都有名稱以及對應的值，屬性值能夠有單個、多個，好比你有多個郵箱。

屬性不是隨便定義的，須要符合一個必定的規則，而這個規則能夠經過schema制定。好比，若是一個entry沒有包含在intetorgperson這個schema中的objectClass：inetOrgPerson，那麼就不能爲它制定employeeNumber屬性，由於employeeNumber是在interOrgPerson中定義的。

LDAP爲人員組織結構中常見的對象都設計了屬性（好比commonName，surname）。

 4.3ObjectClass 

對象類是屬性的集合，LDAP預想了不少人員組織機構中常見的對象，並將其封裝成對象類。好比人員（person）含有姓（sn），名（cn）、電話（telphoneNumber）、密碼（userPassword）等屬性，單位職工（organizationalPerson）是人員（person）的繼承類，除了上述屬性以外還含有職務（title）、郵政編碼（postalCode）、通訊地址（postalAddress）等屬性。

經過對象類能夠方便的定義條目類型。每一個條目能夠直接繼承對個對象類，這樣就繼承了各類屬性。若是2個對象類中有相同的屬性，則條目繼承後只會保留1個屬性。對象類同時也規定了那些屬性是基本信息，必須含有（Must或Required，必要屬性）：那些屬性是擴展信息，能夠含有（May或Optional，可選屬性）。

對象類有三種類型：結構類型（Structural）、抽象類型（Abstract）和輔助類型（Auxiliary）。結構類型是最基本的類型，它規定了對象實體的基本屬性，每一個條目屬於且僅屬於一個結構型對象類，抽象類型能夠是結構類型或其餘抽象類型父類，它將對象屬性中共性的部分組織在一塊兒，稱爲其它類的模板，條目不能直接繼承抽象型對象類。輔助類型固定了對象實體的擴展屬性。每一個條目至少youy9ige結構型對象類。

對象類自己是能夠相互繼承的，因此對象類的根類是top抽象型對象類。以經常使用的人員類型爲例，他們的繼承關係：

4.4 Schema  

對象類（ObjectClass）、屬性類型（AttributeType）、語法（Syntax）分別約定了條目、屬性、值，他們之間的關係以下圖所示。因此這些構成了模式（Schema）——對象類的集合。條目數據在導入時一般須要接受模式檢查，它確保了目錄中全部的條目數據結構都是一致的。

schema（通常在/etc/ldap/schema/目錄）在導入時要注意先後順序

 4.5 LDIF 

LDIF（LDAP Data Interchange Format，數據交換格式）是LDAP數據庫信息的一種文本格式，用於數據庫的導入導出，每行都是「屬性：值」對。

LDAP服務器部署 

首先須要安裝經常使用的軟件包：

root@vmware01:~# yum install openldap openldap-servers openldap-clients migrationtools
root@vmware01:~# 

接下來就是修改配置文件的事了。這個目前不測試了，等用到的時候再補上測試流程

 

LDIF文件剖析

··········

WEB管理LDAP

這裏須要phpldapadmin

·········

剩下的都是配置文件的事，等用到了再寫吧，工做太忙，沒空寫了。。。