1.目錄服務

目錄是為一個查詢、瀏覽、和搜索而優化的專業分布式數據庫，它呈樹狀結構組織數據，就好像Linux/Unix系統中的文件目錄一樣。目錄數據庫和關系數據庫不一樣，它有優異的讀性能，但寫性能很差，并且沒有事務處理、回滾等復雜功能，不適于存儲頻繁修改的數據。所以目錄天生是用來查詢的，就好像它的名字一樣。

目錄服務是由目錄數據庫和一套訪問協議組成的系統，類似以下的信息適合存儲在目錄中：

》企業員工信息，如姓名、電話、郵箱

》公用證書和安全密鑰

》公司的物理設備信息，如服務器，它的ip地址、存放位置、廠商、購買時間

LDAP是輕量目錄訪問協議（Lightweight Directory Acess Protocal）,LDAP是從X.500目錄訪問協議基礎上發展過來的，目前的版本是v3.0;

2.特點

a.LDAP結構用樹來表示，而不是用表格。不能用sql語句

b.LDAP可以很快地得到查詢結果，不過在寫方面，就慢得多

c.LDAP提供了靜態數據的快速查詢方式

d.client/server模型，Server用于存儲數據，Client用于提供操作目錄樹的工具

e.這些工具可以將數據庫的內容以文本格式（LDAP數據交換格式LDIF）呈現在您的面前

f.LDAP是一種開放Internet標準

3.LDAP數據組織方式：

4.基本概念?

a.Entry?

條目，也叫記錄項，是LDAP中最基本的顆粒，就像字典中的詞條，或者是數據庫中的記錄。通常對LDAP的添加、刪除、更改、檢索都是以條目為基本對象的?

dn:每一個條目都有一個唯一的標識名（distinguished name,DN）如上圖中一個dn"cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org".通過DN的層次型語法結構，可以方便地表示出條目在LDAP樹中的位置，通常用于檢索

rdn:一般指dn逗號最左邊的部分，如cn=baby.

BaseDN:LDAP目錄樹的最頂部就是根，也就是BaseDn，如"dc=mydomain,dc=org"

b.Attributes

每個條目都可以有很多屬性，比如常見的人都有姓名、地址、電話等屬性。每個屬性都有名稱及對應的值，屬性值都可以有單個、多個、比如你有多個郵箱。

屬性不是隨便定義的，需要符合一定的規則，而這個規則可以通過schema制定。比如，如果一個entry沒有包含在 inetorgperson 這個 schema 中的objectClass: inetOrgPerson，那么就不能為它指定employeeNumber屬性，因為employeeNumber是在inetOrgPerson中定義的。

LDAP為人員組織機構中常見的對象都設計了屬性(比如commonName，surname)。下面有一些常用的別名：

4.3 ObjectClass

對象類是屬性的集合，LDAP預想了很多人員組織機構中常見的對象，并將其封裝成對象類。比如人員（person）含有姓（sn）、名（cn）、電話(telephoneNumber)、密碼(userPassword)等屬性，單位職工(organizationalPerson)是人員(person)的繼承類，除了上述屬性之外還含有職務（title）、郵政編碼（postalCode）、通信地址(postalAddress)等屬性。

通過對象類可以方便的定義條目類型。每個條目可以直接繼承多個對象類，這樣就繼承了各種屬性。如果2個對象類中有相同的屬性，則條目繼承后只會保留1個屬性。對象類同時也規定了哪些屬性是基本信息，必須含有(Must 活Required，必要屬性)：哪些屬性是擴展信息，可以含有（May或Optional，可選屬性）。

對象類有三種類型：結構類型（Structural）、抽象類型(Abstract)和輔助類型（Auxiliary）。結構類型是最基本的類型，它規定了對象實體的基本屬性，每個條目屬于且僅屬于一個結構型對象類。抽象類型可以是結構類型或其他抽象類型父類，它將對象屬性中共性的部分組織在一起，稱為其他類的模板，條目不能直接集成抽象型對象類。輔助類型規定了對象實體的擴展屬性。每個條目至少有一個結構性對象類。

對象類本身是可以相互繼承的，所以對象類的根類是top抽象型對象類。以常用的人員類型為例，他們的繼承關系：

下面是inetOrgPerson對象類的在schema中的定義，可以清楚的看到它的父類SUB和可選屬性MAY、必要屬性MUST(繼承自organizationalPerson)，關于各屬性的語法則在schema中的attributetype定義。

# inetOrgPerson# The inetOrgPerson represents people who are associated with an# organization in some way.? It is a structural class and is derived# from the organizationalPerson which is defined in X.521 [X521].objectclass? ? (2.16.840.1.113730.3.2.2NAME'inetOrgPerson'DESC'RFC2798: Internet Organizational Person'SUPorganizationalPersonSTRUCTURALMAY(? ? ? ? ? ? ? ? audio$businessCategory$carLicense$departmentNumber$displayName$employeeNumber$employeeType$givenName$homePhone$homePostalAddress$initials$jpegPhoto$labeledURI$mail$manager$mobile$o$pager$photo$roomNumber$secretary$uid$userCertificate$x500uniqueIdentifier$preferredLanguage$userSMIMECertificate$userPKCS12 )? ? ? ? )

4.4 Schema

對象類（ObjectClass）、屬性類型（AttributeType）、語法（Syntax）分別約定了條目、屬性、值，他們之間的關系如下圖所示。所以這些構成了模式(Schema)——對象類的集合。條目數據在導入時通常需要接受模式檢查，它確保了目錄中所有的條目數據結構都是一致的。

schema（一般在/etc/ldap/schema/目錄）在導入時要注意前后順序。

4.5 backend & database

ldap的后臺進程slapd接收、響應請求，但實際存儲數據、獲取數據的操作是由Backends做的，而數據是存放在database中，所以你可以看到往往你可以看到backend和database指令是一樣的值如 bdb 。一個 backend 可以有多個 database instance，但每個 database 的 suffix 和 rootdn 不一樣。openldap 2.4版本的模塊是動態加載的，所以在使用backend時需要moduleload back_bdb指令。

bdb是一個高性能的支持事務和故障恢復的數據庫后端，可以滿足絕大部分需求。許多舊文檔里（包括官方）說建議將bdb作為首選后端服務（primary backend），但2.4版文檔明確說hdb才是被首先推薦使用的，這從 2.4.40 版默認安裝后的配置文件里也可以看出。hdb是基于bdb的，但是它通過擴展的索引和緩存技術可以加快數據訪問，修改entries會更有效率，有興趣可以訪問上的鏈接或slapd.backends。

另外config是特殊的backend，用來在運行時管理slapd的配置，它只能有一個實例，甚至無需顯式在slapd.conf中配置。

4.6 TLS & SASL

分布式LDAP 是以明文的格式通過網絡來發送信息的，包括client訪問ldap的密碼（當然一般密碼已然是二進制的），SSL/TLS 的加密協議就是來保證數據傳送的保密性和完整性。

SASL （Simple Authenticaion and Security Layer）簡單身份驗證安全框架，它能夠實現openldap客戶端到服務端的用戶驗證，也是ldapsearch、ldapmodify這些標準客戶端工具默認嘗試與LDAP服務端認證用戶的方式（前提是已經安裝好Cyrus SASL）。SASL有幾大工業實現標準：Kerveros V5、DIGEST-MD5、EXTERNAL、PLAIN、LOGIN。

Kerveros V5是里面最復雜的一種，使用GSSAPI機制，必須配置完整的Kerberos V5安全系統，密碼不再存放在目錄服務器中，每一個dn與Kerberos數據庫的主體對應。DIGEST-MD5稍微簡單一點，密碼通過saslpasswd2生成放在sasldb數據庫中，或者將明文hash存到LDAP dn的userPassword中，每一個authid映射成目錄服務器的dn，常和SSL配合使用。參考將 LDAP 客戶端配置為使用安全性

EXTERNAL一般用于初始化添加schema時使用，如ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif。

4.7 LDIF

LDIF（LDAP Data Interchange Format，數據交換格式）是LDAP數據庫信息的一種文本格式，用于數據的導入導出，每行都是“屬性: 值”對，見openldap ldif格式示例

OpenLDAP(2.4.3x)服務器安裝配置方法見這里。