最近業(yè)務(wù)上需要和 LDAP 對(duì)接，在想 LDAP 是個(gè)啥？

趕緊查查資料，補(bǔ)齊一下我的知識(shí)盲區(qū)

LDAP 是什么？

LDAP 就是一個(gè) 輕量目錄訪問協(xié)議， 全稱是 (Lightweight Directory Access Protocol)，是基于X.500標(biāo)準(zhǔn)的輕量級(jí)目錄訪問協(xié)議

我們就可以理解成，他就是一個(gè)目錄數(shù)據(jù)庫(kù)，讀的性能超級(jí)高，寫性能不如人意，所以我們基本上都是查詢它居多

LDAP 的產(chǎn)品有哪些？

• OpenLDAP

• MiscroSoft 的Active Directory

• IBM Security Directory

• sun 公司的 ldap

• 其他的 ldap

相信只要熟悉了 LDAP 的基本協(xié)議，對(duì)接上述其他公司的產(chǎn)品應(yīng)該都是信手拈來了

LDAP 必須知道的基本概念？

上面我們知道基于 LDAP 協(xié)議做出來的產(chǎn)品有很多，我們以 Active Directory 為例 統(tǒng)一來看看 LDAP 我們需要知道哪些基本概念吧

Active Directory 見名知意，就是活動(dòng)目錄的意思

其中的重要概念有：

DC ?Domain Controller

就是域控制器，是非常核心的

其實(shí)他就是一臺(tái) AD 里的服務(wù)器，安裝了活動(dòng)目錄的 PC 而已，所有域用戶的信息都會(huì)存在這個(gè) ?Domain Controller 里面，他就是整個(gè)活動(dòng)目錄的服務(wù)器

當(dāng)你本地的 PC 裝上 ?Active Directory ?之后，那么就沒有本地用戶了，就會(huì)全部自動(dòng)變成域用戶

成員計(jì)算機(jī)

跟域控制器建立了信任并加入到域里面的計(jì)算機(jī) ， 每臺(tái)計(jì)算機(jī)加入到域的時(shí)候會(huì)生成信任密鑰，類似于我們服務(wù)端常常使用 token 一樣

并且每隔一段時(shí)間，訪問其他成員的計(jì)算機(jī)是需要通過 Domain Controller 來拿到 token 來實(shí)現(xiàn)的，這樣才能域計(jì)算機(jī)之間互相訪問

例如，我是一個(gè) Domain Controller ， 我給計(jì)算機(jī) A 發(fā)了一個(gè) token， 那么我就會(huì)把這個(gè)計(jì)算機(jī) A 加入到我的域當(dāng)中來

SID ?Security id

用戶和計(jì)算機(jī)都有一個(gè) sid ，這是一個(gè)唯一標(biāo)識(shí)

DNS 服務(wù)

搭建活動(dòng)目錄的時(shí)候還必須要設(shè)置一個(gè) DNS 服務(wù)，因?yàn)槲覀冊(cè)L問活動(dòng)目錄的時(shí)候，一般是不會(huì)使用 ip 去訪問的，而是使用 域名去訪問

這個(gè)是需要在本地配置 DNS 的，一般配置的 DNS 服務(wù) 會(huì)和 活動(dòng)目錄的服務(wù)器放在一起

我們可以來看看我自己搭建的一個(gè) ldap 服務(wù)器的例子：

DN Distinguished Name 分辨名

是一個(gè)唯一的標(biāo)識(shí)，可以通過這個(gè)名字來找到一條記錄，標(biāo)識(shí)從樹的根部到這個(gè)節(jié)點(diǎn)的路徑，DN 也標(biāo)識(shí)這個(gè)節(jié)點(diǎn)在樹中的詳細(xì)位置

例如這個(gè)是簡(jiǎn)單搭建的 ldap 服務(wù)器，圖中的 ou=people， 我們可以看到 最上方有一個(gè) DN 內(nèi)容是 ou=people,dc=ldapdomain,dc=com 這就是一個(gè) DN

DN 就類似于數(shù)據(jù)庫(kù)的主鍵，標(biāo)識(shí)一個(gè)唯一的項(xiàng)，這是不能重復(fù)的

RDN Reletive Distinguished Name

我們看到的 ou=people,dc=ldapdomain,dc=com 包含了 3 個(gè) RDN，里面的每一個(gè)鍵值對(duì)是一個(gè) RDN

DC domain component

上述 dc=ldapdomain,dc=com ?這里的 dc ，可不是域名控制器的意思，而是域名組成的意思

例如這上面的一句話，就表示 ?dc=ldapdomain,dc=com 組成 ldapdomain.com

C country

代表國(guó)家

O Organization

代表組織，代表公司

OU Organization Unit

代表組織單元，代表部門

例如我這里的 ou=people，ou=group ，我們也可以理解 ou 代表分公司

這個(gè) OU 下面是可以包含很多內(nèi)容的，例如 計(jì)算機(jī)，用戶，打印機(jī)，安全策略，其他組織等等

CN Common Name

表示一條記錄的名字，圖中 uid 也是表示一條記錄的名字，他們是可以共存的

objectClass 對(duì)象類

objectClass 會(huì)預(yù)定義一些類，這個(gè)類上面還可以規(guī)定一些規(guī)則，例如定義一些標(biāo)簽字段等等

DIT Directory Information Tree

目錄信息樹的意思，看我們自己的服務(wù)器，上述截圖的位置就是一個(gè) 目錄信息樹

可視化的 LDAP 客戶端

目前我開始使用的 2 款 LDAP可視化工具是：

• LdapAdmin

• LdapBrowser

我們一般使用 ldap 協(xié)議做對(duì)接，用的最多的就是 ldapsearch 命令，更多的是查，查的越多，就越能體現(xiàn) ldap 的高性能

慢慢的摸索，把它吃掉

歡迎點(diǎn)贊，關(guān)注，收藏

朋友們，你的支持和鼓勵(lì)，是我堅(jiān)持分享，提高質(zhì)量的動(dòng)力

好了，本次就到這里

技術(shù)是開放的，我們的心態(tài)，更應(yīng)是開放的。擁抱變化，向陽而生，努力向前行。

我是阿兵云原生，歡迎點(diǎn)贊關(guān)注收藏，下次見~