輕量級目錄訪問協(xié)議(LDAP)是一種使應(yīng)用程序能夠快速查詢用戶信息的協(xié)議。您辦公室內(nèi)的某個人想要做兩件事:向最近的員工發(fā)送電子郵件,并在新打印機上打印該對話的副本。LDAP(輕量級目錄訪問協(xié)議)使這兩個步驟成為可能。
正確設(shè)置它,該員工無需與IT人員交談即可完成任務(wù)。
什么是LDAP?
公司將用戶名、密碼、電子郵件地址、打印機連接和其他靜態(tài)數(shù)據(jù)存儲在目錄中。LDAP是一種開放的、供應(yīng)商中立的應(yīng)用程序協(xié)議,用于訪問和維護該數(shù)據(jù)。LDAP還可以處理身份驗證,因此用戶只需登錄一次即可訪問服務(wù)器上的許多不同文件。
LDAP是一種協(xié)議,因此它不指定目錄程序的工作方式。相反,它是一種語言形式,允許用戶非??焖俚卣业剿麄冃枰男畔ⅰ?br />
LDAP是供應(yīng)商中立的,因此它可以與各種不同的目錄程序一起使用。通常,目錄包含以下數(shù)據(jù):
描述。多個點(例如名稱和位置)組合在一起以定義資產(chǎn)。
靜態(tài)的。信息變化不大,當它發(fā)生時,變化是微妙的。
寶貴。存儲在目錄中的數(shù)據(jù)對于核心業(yè)務(wù)功能至關(guān)重要,并且會一遍又一遍地觸及。
有時,人們在整個工作日中將LDAP與其他系統(tǒng)一起使用。例如,您的員工可以使用LDAP連接打印機或驗證密碼。然后,這些員工可以切換到Google發(fā)送電子郵件,這根本不依賴于LDAP。
LDAP并不新鮮。描述目錄服務(wù)如何工作以及LDAP應(yīng)該如何接口的權(quán)威白皮書發(fā)布于2003年。盡管LDAP年代久遠,但它今天仍在廣泛使用。
LDAP進程說明
普通員工每天與LDAP連接數(shù)十次甚至數(shù)百次。即使完成查詢的步驟錯綜復(fù)雜,該人甚至可能不知道連接已發(fā)生。
LDAP查詢通常涉及:
會話連接。用戶通過LDAP端口連接到服務(wù)器。
請求。用戶向服務(wù)器提交查詢,例如電子郵件查找。
響應(yīng)。LDAP協(xié)議查詢目錄,查找信息,并將其傳遞給用戶。
完成。用戶斷開與LDAP端口的連接。
搜索看起來很簡單,但大量的編碼使該功能成為可能。開發(fā)人員必須確定搜索的大小限制、服務(wù)器可以花費的處理時間、搜索中可以包含的變量數(shù)等。
從一個公司跳到另一個公司的人可能會在每個位置使用LDAP運行搜索。但是搜索的工作方式和功能可能會大不相同,具體取決于LDAP的配置方式。
在開始任何搜索之前,LDAP必須對用戶進行身份驗證。有兩種方法可用于這項工作:
簡單。正確的名稱和密碼將用戶連接到服務(wù)器。
簡單身份驗證和安全層(SASL)。輔助服務(wù)(如Kerberos)在用戶連接之前執(zhí)行身份驗證。對于需要高級安全性的公司,這可能是一個不錯的選擇。
有些查詢源自公司的圍墻,但有些查詢始于移動設(shè)備或家用計算機。大多數(shù)LDAP通信都是在沒有加擾或加密的情況下發(fā)送的,這可能會導(dǎo)致安全問題。大多數(shù)公司使用傳輸層安全性(TLS)來確保LDAP消息的安全性。
人們可以使用LDAP處理各種操作。他們可以:
加。在數(shù)據(jù)庫中輸入一個新文件。
刪除。從數(shù)據(jù)庫中取出文件。
搜索。啟動查詢以在數(shù)據(jù)庫中查找某些內(nèi)容。
比較。檢查兩個文件的相似性或差異性。
修改。對現(xiàn)有條目進行更改。
要了解的LDAP術(shù)語
普通人敲擊計算機不需要知道LDAP的來龍去脈。但是,從事網(wǎng)絡(luò)安全和訪問工作的人員必須對核心概念和結(jié)構(gòu)有深刻的理解。人們用來描述LDAP的語言對于新手來說可能是難以理解的。
當您開始了解LDAP時,您將看到的常見術(shù)語包括:
數(shù)據(jù)模型。您的目錄中包含哪些類型的信息?模型可幫助您了解LDAP中的方面。您可以擁有常規(guī)信息(如對象類)、名稱(如何唯一引用每個項目)、函數(shù)(如何訪問數(shù)據(jù))和安全性(用戶如何通過身份驗證)。
可分辨名稱(DN)。這是每個條目的唯一標識符,還描述了信息樹中的位置。
修改。這些是LDAP用戶為更改與條目關(guān)聯(lián)的數(shù)據(jù)而發(fā)出的請求。定義的修改類型包括添加、刪除、替換和增加。
相對可分辨名稱(RDN)。這是一種在指定相對位置時將DN綁定在一起的方法。
圖式。支撐LDAP的編碼稱為架構(gòu)。您將使用此語言來描述服務(wù)器上每個項目的格式和屬性。
網(wǎng)址。這是一個字符串,包括服務(wù)器的地址和端口,以及可以定義組、提供位置或?qū)⒉僮饕玫搅硪慌_服務(wù)器的其他數(shù)據(jù)。
統(tǒng)一資源標識符(URI)。這是定義資源的字符串。
這只是您需要掌握的語言以正確實施LDAP協(xié)議的提示。但是由于LDAP是一種開源協(xié)議,因此存在大量文檔可以幫助您立即像專業(yè)人士一樣入門和編碼。
LDAP與活動目錄
有些人可以互換使用LDAP和Active Directory,這種習(xí)慣會引起很多混亂。這兩個工具一起工作,但它們絕對不是一回事。
Active Directory是一種專有目錄工具,用于組織IT資產(chǎn),如計算機、打印機和用戶。作為微軟產(chǎn)品,它通常在Windows環(huán)境中使用。如果您曾經(jīng)在網(wǎng)絡(luò)上使用Windows,則此系統(tǒng)將支持某些數(shù)據(jù)。
LDAP是一種可以讀取Active Directory的協(xié)議,但您也可以將其與其他程序一起使用,包括基于Linux的程序。作為供應(yīng)商中立的協(xié)議,您可以使用此工具處理與Windows無關(guān)的各種產(chǎn)品。
因此,LDAP和Active Directory協(xié)同工作以幫助用戶。但他們不會相互競爭,也不會做完全相同的事情。