LDAP是一種目錄訪問協議，它規(guī)定了以樹狀結構的方式來存儲和訪問數據。

然而協議是抽象的，要產生具體的功效，必須在應用中實現，比如AD域服務就實現了LDAP協議。

LDAP最明顯的優(yōu)勢就是讀取速度快，擁有極高的搜索效率。

可以用一個例子來體會這種速度：當我們進入一個迷宮，需要尋找出口。

普通數據庫：一條路一條路地嘗試，直到嘗試出能走出去的路線，再將這條路線返回給我們。

LDAP：相當于拿了一張解密地圖，上面清清楚楚寫著哪條路能直接到達出口。

?

很明顯，普通數據庫也許要嘗試十多次才能找到正確的路線，但是LDAP只要一次就能找到，搜索性能上孰優(yōu)孰劣一目了然。

除此之外，LDAP允許靈活地添加數據，并且采取【客戶端-服務端】的方式提供服務，即在服務端存儲數據，在客戶端操作數據，但相比于關系型數據庫，它不支持事務、回滾等操作。

?

LDAP之所以擁有這些特點，主要基于它的數據存儲方式——樹形目錄，即在系統中構建一棵樹，在樹葉上存儲數據。接下來我們通過在系統中搭建一棵樹的流程，詳細介紹LDAP原理。

一、LDAP原理?

構建一棵樹，首先我們需要確定這棵樹長在哪里，也就是樹根是什么。

LDAP中將域名拆分開，形成樹根，系統中的樹根叫做DC，比如在test20.local域下，樹根為DC=test20，DC=local。

相比于直接用test20.local做樹根，這樣的組織方式讓整體結構更清晰，同時便于擴充域。假如有另一個叫test20.local2的域要加入這棵樹，那么我們就可以直接將DC=local2放到DC=test20下面，而不必重新構建一棵叫test20.local2的樹，如下圖所示。

樹根有了，下一步，我們開始構建樹枝。

LDAP中，樹的枝干通常是由組織單位（OU）來充當，主要是區(qū)分數據所屬范圍。比如有一個叫張三的用戶在local下的信息部，那么張三所屬枝干就是OU=信息部。

在這里，LDAP有一個明顯優(yōu)勢，就是每一個樹枝都可以被單獨放在一個服務器中進行管理。這不僅有利于減輕服務器負擔，也方便具有分公司的企業(yè)在不同地域部署服務器。

到最后，只要把所有的數據制作成樹葉，掛到樹枝上去就行了。

制作樹葉有兩個關鍵的地方，一個是樹葉名字，另一個是樹葉內容。

?

LDAP規(guī)定的名字結構由兩部分組成，一部分是直接名稱，即CN，一部分是相對名稱，即RDN。

CN是唯一的，用來區(qū)分不同樹葉。比如用戶張三注冊時，CN=張三。

而RDN是指從樹根到樹葉經過的所有枝干，用來標識樹葉位置。如果Sam用戶在市場運營部，他的RDN就是DC=test20，DC=local，OU=信息部。

RDN加CN就形成了數據名稱，用DN來表示，張三的DN就是：DC=test20，DC=local，OU=信息部，CN=張三。

正是這樣的名字結構提升了LDAP的讀取效率，因為DN就是那張標識了出口路線的地圖，只要我們順著名稱往下尋找，就能直接找到所需數據。

樹葉內容主要是描述這片樹葉的顏色、形狀、氣味等獨特的信息，對應到系統中，就是資源的屬性，比如用戶的屬性有性別，身份證號，電話等，計算機的屬性有操作系統類型、賬號密碼等。

一片樹葉名稱加上它的屬性就形成完整的數據信息，在系統中被稱為條目。

每片樹葉有它單獨的條目，如果要增加新的信息，只需要在條目中添加一個屬性，不會影響其它的條目。而在關系型數據庫中，增加信息需要改變表結構，相比來說，困難很多。

為了提高效率，LDAP還提供了一種比較方便的做法，就是給具有相同屬性類型的資源制定模板，在注冊時直接往模板中填充信息就能創(chuàng)建一片樹葉，這就是對象類。

比如說系統中有一個對象類叫用戶，它的屬性包括姓名、電話、郵箱。那么我創(chuàng)建用戶時，必須填寫這三項才能創(chuàng)建成功。

?

系統中的樹還有一個不一樣的地方，就是各種不同品種的樹葉可以長在一棵樹上，這個不同品種的樹葉是由系統中多種多樣的資源對象來充當的，所以我們可以想象一棵長滿了用戶、計算機和打印機的樹。

除此之外，它還可以允許雜交樹葉的存在。這是因為系統中的某個資源對象可能同時具有多個對象類的屬性，比如系統管理員，它就同時具有用戶和管理員的屬性。

?到此，在LDAP協議的“指導”下，我們就成功在系統中構建好一棵完整的樹了。

二、結語?

LDAP常用來構建統一的賬號管理、身份驗證平臺，實現sso單點登錄機制。此外，它還有訪問控制和數據復制的功能，能夠幫助增強系統安全性和容災性。

但同時，LDAP協議也存在一些安全問題，比如LDAP注入造成的惡意LDAP查詢。在工作生產中，同樣需要我們多加防范。