轻量级目录访问协议(LDAP)是一种使应用程序能够快速查询用户信息的协议。您办公室内的某个人想要做两件事:向最近的员工发送电子邮件,并在新打印机上打印该对话的副本。LDAP(轻量级目录访问协议)使这两个步骤成为可能。
正确设置它,该员工无需与IT人员交谈即可完成任务。
1. 什么是LDAP?
公司将用户名、密码、电子邮件地址、打印机连接和其他静态数据存储在目录中。LDAP是一种开放的、供应商中立的应用程序协议,用于访问和维护该数据。LDAP还可以处理身份验证,因此用户只需登录一次即可访问服务器上的许多不同文件。LDAP是一种协议,因此它不指定目录程序的工作方式。相反,它是一种语言形式,允许用户非常快速地找到他们需要的信息。
LDAP是供应商中立的,因此它可以与各种不同的目录程序一起使用。通常,目录包含以下数据:
- 描述。多个点(例如名称和位置)组合在一起以定义资产。
- 静态的。信息变化不大,当它发生时,变化是微妙的。
- 宝贵。存储在目录中的数据对于核心业务功能至关重要,并且会一遍又一遍地触及。
LDAP并不新鲜。描述目录服务如何工作以及LDAP应该如何接口的权威白皮书发布于2003年。尽管LDAP年代久远,但它今天仍在广泛使用。
2. LDAP进程说明
普通员工每天与LDAP连接数十次甚至数百次。即使完成查询的步骤错综复杂,该人甚至可能不知道连接已发生。
LDAP查询通常涉及:
- 会话连接。用户通过LDAP端口连接到服务器。
- 请求。用户向服务器提交查询,例如电子邮件查找。
- 响应。LDAP协议查询目录,查找信息,并将其传递给用户。
- 完成。用户断开与LDAP端口的连接。
从一个公司跳到另一个公司的人可能会在每个位置使用LDAP运行搜索。但是搜索的工作方式和功能可能会大不相同,具体取决于LDAP的配置方式。
在开始任何搜索之前,LDAP必须对用户进行身份验证。有两种方法可用于这项工作:
- 简单。正确的名称和密码将用户连接到服务器。
- 简单身份验证和安全层(SASL)。辅助服务(如Kerberos)在用户连接之前执行身份验证。对于需要高级安全性的公司,这可能是一个不错的选择。
人们可以使用LDAP处理各种操作。他们可以:
- 加。在数据库中输入一个新文件。
- 删除。从数据库中取出文件。
- 搜索。启动查询以在数据库中查找某些内容。
- 比较。检查两个文件的相似性或差异性。
- 修改。对现有条目进行更改。
3. 要了解的LDAP术语
普通人敲击计算机不需要知道LDAP的来龙去脉。但是,从事网络安全和访问工作的人员必须对核心概念和结构有深刻的理解。人们用来描述LDAP的语言对于新手来说可能是难以理解的。当您开始了解LDAP时,您将看到的常见术语包括:
- 数据模型。您的目录中包含哪些类型的信息?模型可帮助您了解LDAP中的方面。您可以拥有常规信息(如对象类)、名称(如何唯一引用每个项目)、函数(如何访问数据)和安全性(用户如何通过身份验证)。
- 可分辨名称(DN)。这是每个条目的唯一标识符,还描述了信息树中的位置。
- 修改。这些是LDAP用户为更改与条目关联的数据而发出的请求。定义的修改类型包括添加、删除、替换和增加。
- 相对可分辨名称(RDN)。这是一种在指定相对位置时将DN绑定在一起的方法。
- 图式。支撑LDAP的编码称为架构。您将使用此语言来描述服务器上每个项目的格式和属性。
- 网址。这是一个字符串,包括服务器的地址和端口,以及可以定义组、提供位置或将操作引用到另一台服务器的其他数据。
- 统一资源标识符(URI)。这是定义资源的字符串。
4. LDAP与活动目录
有些人可以互换使用LDAP和Active Directory,这种习惯会引起很多混乱。这两个工具一起工作,但它们绝对不是一回事。Active Directory是一种专有目录工具,用于组织IT资产,如计算机、打印机和用户。作为微软产品,它通常在Windows环境中使用。如果您曾经在网络上使用Windows,则此系统将支持某些数据。
LDAP是一种可以读取Active Directory的协议,但您也可以将其与其他程序一起使用,包括基于Linux的程序。作为供应商中立的协议,您可以使用此工具处理与Windows无关的各种产品。
因此,LDAP和Active Directory协同工作以帮助用户。但他们不会相互竞争,也不会做完全相同的事情。
