LDAP 解释:从专有名称到用户身份验证
Posted: Tue Dec 03, 2024 6:26 am
组织通常依赖 LDAP(轻量级目录访问协议)来进行关键任务管理、存储和用户身份验证。但是,它可能会使用户感到困惑,导致他们将其与 Active Directory 混淆。在本文中,我们将了解 LDAP、它的用途以及它的工作原理。然后我们将了解其主要功能、目录结构和数据组织功能。最后,我们将介绍 LDAP 对于目录服务管理和用户身份验证的重要性。
内容 隐藏
1 什么是LDAP?
1.1 其目的是什么?
2 LDAP 是如何工作的?
3 LDAP 的主要特性
4 LDAP目录结构
5 个 常见 LDAP 元素
5.1 属性
5.2 记录
5.3 信息数据树
6 LDAP 数据的组织
7 LDAP 的重要性
8 LDAP 对比活动目录
9 结论
9.1 相关出版物:
什么是LDAP?
LDAP 代表轻量级目录访问协议。它是一种开放协议,阿尔及利亚电话号码库
用于管理本地目录的安全用户身份验证。此外,它是一种与供应商无关的应用程序协议,使其具有普遍性和普遍性,特别是在互联网上的分布式目录信息服务中。 LDAP 有效地允许应用程序查询用户信息。这意味着它可以跨 IT 基础设施服务以多种方式运行,包括电子邮件、授权、许可证管理和用户管理服务。
但是,不应将其与 Active Directory 服务混淆,Active Directory 服务是企业用来组织、访问和保护 IT 资产的一组服务/数据库。从本质上讲,目录服务允许组织存储描述性的、静态的和有价值的数据。从技术上讲,LDAP 是指在目录服务中呈现数据的完整过程。它确保用户可以按预定顺序检索数据。这意味着 LDAP 允许组织使用其工具在目录服务中创建数据记录。因此,在 Active Directory 中,LDAP 还提供基于各种原始元素的记录组合。
简而言之,LDAP 是:
通讯协议
它是一个开放的、供应商中立的应用程序协议。
软件协议存储和组织数据,以便轻松搜索。
适用于本地目录
与包含静态、描述性和有价值的数据的 Active Directory 配合使用。
这不是一个新协议,它于 2003 年发布。
它的目的是什么?
LDAP 的目的围绕两件事:
它将数据存储在 LDAP/Active Directory 中
验证用户对此目录的访问权限
允许应用程序使用适当的通信语言从目录服务发送和接收数据。
换句话说,它充当一种通信协议,不仅能够提供身份验证和授权,而且还能以易于搜索的方式组织数据。使用 LDAP,组织可以存储有关用户和 IT 资产的关键信息,包括用户凭据。此外,它可以通过允许管理员主动设置访问规则来提供安全访问。
LDAP 是如何工作的?
LDAP 基于客户端-服务器体系结构。因此,当 LDAP 身份验证发生时,它是使用客户端-服务器模型完成的。在这种情况下,关键参与者是以下参与者:
目录系统代理 (DSA):在特定网络上运行 LDAP 的服务器。
可分辨名称 (DN):包含在目录信息树 (DIT) 中导航的路径。
目录用户代理 (DUA):DUA 用于作为客户端访问 DSA。
相对专有名称 (RDN):RDN 标识 DN 路径中的每个组件。
应用程序编程接口( API ):我们拥有支持服务和产品之间通信的 API。
在LDAP身份验证过程中,当用户运行LDAP客户端程序(例如电子邮件应用程序)时,管理员可以配置LDAP客户端与目录服务通信以进行身份验证。例如,它可以使用两种可用的用户身份验证方法之一:
使用 Kerberos 进行 SASL 身份验证
使用登录凭据进行简单的 SSO 身份验证
当您尝试登录时,系统会提示您进行 DN 身份验证。该过程启动后,LDAP 会将客户端分配给目录系统代理 (DSA),该代理使用 DN 来查找数据库中的匹配条目。 DN 中的相对专有名称 (RDN) 是 LDAP 查找的重要组成部分,因为它在目录信息树 (DIT) 查找过程的每一步中都会用到。如果查找成功,则匹配匹配的用户UID和密码以验证用户。如果不是,则返回无效结果。
最后,客户端与 LDAP 服务器断开连接。然后,经过身份验证的用户可以通过 API 与服务进行交互。这意味着它可以查看存储的所有信息 - 唯一的限制是授予的权限。如果您想了解有关 LDAP 工作原理的更多信息,请查看 Greg Vaneder 和 Mark Wahl 于 2003 年发表的论文。如果您想了解有关 LDAP 搜索如何工作的更多信息,请查看 LDAP 搜索操作。
LDAP 的主要特性
LDAP的主要特点可以简单描述如下:
用户会话身份验证:它可用于对数据库服务(例如 Active Directory)的用户会话进行身份验证。
各种类型的操作:它还可以执行目录服务器数据库操作,包括
会话链接
删除 LDAP 条目
修改现有条目
搜索和比较记录
放弃的请求
解绑操作
轻量级: LDAP 是轻量级的,对网络和系统资源的压力很小。
供应商和协议独立性: LDAP 也是独立于供应商和协议的。这意味着它适用于任何供应商/解决方案/协议。例如,您可以使用 TCP/IP 或 X.25 上的 LDAP。但是,LDAP 的最新版本 LDAPv3 使用 TCP/IP。
目录结构: LDAP 使用目录树结构来存储和访问目录数据库中的资产。父子关系允许更快地搜索和检索信息。
标准化: LDAP 由 IETF(互联网工程任务组)标准化。标准化确保 LDAP 可以在不同的供应商之间工作。
安全性: LDAP 是安全的。在 TCP/IP 级别使用安全TLS协议来实现的。它还可以使用安全套接字( SSL)来加密、解密和远程传输信息,具有完全的完整性和保密性。
复制: LDAP 还支持跨多个服务器的复制。这可以确保发生任何故障时的数据冗余和数据可用性。为此,使用Syncrepl——同步复制机制。
]
LDAP 目录结构
LDAP 目录具有清晰、定义的结构。这提供了对数据的轻松访问,并使 LDAP 目录内容更容易查找。由于 LDAP 具有树形结构,因此它是分层的。这就是为什么他们更喜欢将其称为目录信息树 (DIT)。
LDAP 目录结构的不同级别包括:
根目录
国家
组织
组织单位
个人
根实体由DC标识,DC代表域组件属性。因此,如果“dc=com”,则根记录被标识为域“com”。您可以在根目录下拥有多个组织或域。这由“dc=组织”表示。在“com”域下。同样,每个组织可以有一个或多个组织单位 (OU)。管理员可以按逻辑将它们组织成部门。例如,您可以将 OU 定义为“用户”、“组”或“超级用户”。
最后,在每个 OU 下,您可以列出各种条目,包括组、设备、用户等。在我们的示例中,两个用户 OU 值包括“Nitish Singh”和“Oliver Green”。同样,在 OU 组中,我们有“管理员”、“用户”和“超级用户”。 LDA 目录结构在很大程度上依赖于可分辨名称 (DN),因为它用于标识每个条目。这是因为它包含唯一名称并用于派生相对可分辨名称 (RDN)。
内容 隐藏
1 什么是LDAP?
1.1 其目的是什么?
2 LDAP 是如何工作的?
3 LDAP 的主要特性
4 LDAP目录结构
5 个 常见 LDAP 元素
5.1 属性
5.2 记录
5.3 信息数据树
6 LDAP 数据的组织
7 LDAP 的重要性
8 LDAP 对比活动目录
9 结论
9.1 相关出版物:
什么是LDAP?
LDAP 代表轻量级目录访问协议。它是一种开放协议,阿尔及利亚电话号码库
用于管理本地目录的安全用户身份验证。此外,它是一种与供应商无关的应用程序协议,使其具有普遍性和普遍性,特别是在互联网上的分布式目录信息服务中。 LDAP 有效地允许应用程序查询用户信息。这意味着它可以跨 IT 基础设施服务以多种方式运行,包括电子邮件、授权、许可证管理和用户管理服务。
但是,不应将其与 Active Directory 服务混淆,Active Directory 服务是企业用来组织、访问和保护 IT 资产的一组服务/数据库。从本质上讲,目录服务允许组织存储描述性的、静态的和有价值的数据。从技术上讲,LDAP 是指在目录服务中呈现数据的完整过程。它确保用户可以按预定顺序检索数据。这意味着 LDAP 允许组织使用其工具在目录服务中创建数据记录。因此,在 Active Directory 中,LDAP 还提供基于各种原始元素的记录组合。
简而言之,LDAP 是:
通讯协议
它是一个开放的、供应商中立的应用程序协议。
软件协议存储和组织数据,以便轻松搜索。
适用于本地目录
与包含静态、描述性和有价值的数据的 Active Directory 配合使用。
这不是一个新协议,它于 2003 年发布。
它的目的是什么?
LDAP 的目的围绕两件事:
它将数据存储在 LDAP/Active Directory 中
验证用户对此目录的访问权限
允许应用程序使用适当的通信语言从目录服务发送和接收数据。
换句话说,它充当一种通信协议,不仅能够提供身份验证和授权,而且还能以易于搜索的方式组织数据。使用 LDAP,组织可以存储有关用户和 IT 资产的关键信息,包括用户凭据。此外,它可以通过允许管理员主动设置访问规则来提供安全访问。
LDAP 是如何工作的?
LDAP 基于客户端-服务器体系结构。因此,当 LDAP 身份验证发生时,它是使用客户端-服务器模型完成的。在这种情况下,关键参与者是以下参与者:
目录系统代理 (DSA):在特定网络上运行 LDAP 的服务器。
可分辨名称 (DN):包含在目录信息树 (DIT) 中导航的路径。
目录用户代理 (DUA):DUA 用于作为客户端访问 DSA。
相对专有名称 (RDN):RDN 标识 DN 路径中的每个组件。
应用程序编程接口( API ):我们拥有支持服务和产品之间通信的 API。
在LDAP身份验证过程中,当用户运行LDAP客户端程序(例如电子邮件应用程序)时,管理员可以配置LDAP客户端与目录服务通信以进行身份验证。例如,它可以使用两种可用的用户身份验证方法之一:
使用 Kerberos 进行 SASL 身份验证
使用登录凭据进行简单的 SSO 身份验证
当您尝试登录时,系统会提示您进行 DN 身份验证。该过程启动后,LDAP 会将客户端分配给目录系统代理 (DSA),该代理使用 DN 来查找数据库中的匹配条目。 DN 中的相对专有名称 (RDN) 是 LDAP 查找的重要组成部分,因为它在目录信息树 (DIT) 查找过程的每一步中都会用到。如果查找成功,则匹配匹配的用户UID和密码以验证用户。如果不是,则返回无效结果。
最后,客户端与 LDAP 服务器断开连接。然后,经过身份验证的用户可以通过 API 与服务进行交互。这意味着它可以查看存储的所有信息 - 唯一的限制是授予的权限。如果您想了解有关 LDAP 工作原理的更多信息,请查看 Greg Vaneder 和 Mark Wahl 于 2003 年发表的论文。如果您想了解有关 LDAP 搜索如何工作的更多信息,请查看 LDAP 搜索操作。
LDAP 的主要特性
LDAP的主要特点可以简单描述如下:
用户会话身份验证:它可用于对数据库服务(例如 Active Directory)的用户会话进行身份验证。
各种类型的操作:它还可以执行目录服务器数据库操作,包括
会话链接
删除 LDAP 条目
修改现有条目
搜索和比较记录
放弃的请求
解绑操作
轻量级: LDAP 是轻量级的,对网络和系统资源的压力很小。
供应商和协议独立性: LDAP 也是独立于供应商和协议的。这意味着它适用于任何供应商/解决方案/协议。例如,您可以使用 TCP/IP 或 X.25 上的 LDAP。但是,LDAP 的最新版本 LDAPv3 使用 TCP/IP。
目录结构: LDAP 使用目录树结构来存储和访问目录数据库中的资产。父子关系允许更快地搜索和检索信息。
标准化: LDAP 由 IETF(互联网工程任务组)标准化。标准化确保 LDAP 可以在不同的供应商之间工作。
安全性: LDAP 是安全的。在 TCP/IP 级别使用安全TLS协议来实现的。它还可以使用安全套接字( SSL)来加密、解密和远程传输信息,具有完全的完整性和保密性。
复制: LDAP 还支持跨多个服务器的复制。这可以确保发生任何故障时的数据冗余和数据可用性。为此,使用Syncrepl——同步复制机制。
]
LDAP 目录结构
LDAP 目录具有清晰、定义的结构。这提供了对数据的轻松访问,并使 LDAP 目录内容更容易查找。由于 LDAP 具有树形结构,因此它是分层的。这就是为什么他们更喜欢将其称为目录信息树 (DIT)。
LDAP 目录结构的不同级别包括:
根目录
国家
组织
组织单位
个人
根实体由DC标识,DC代表域组件属性。因此,如果“dc=com”,则根记录被标识为域“com”。您可以在根目录下拥有多个组织或域。这由“dc=组织”表示。在“com”域下。同样,每个组织可以有一个或多个组织单位 (OU)。管理员可以按逻辑将它们组织成部门。例如,您可以将 OU 定义为“用户”、“组”或“超级用户”。
最后,在每个 OU 下,您可以列出各种条目,包括组、设备、用户等。在我们的示例中,两个用户 OU 值包括“Nitish Singh”和“Oliver Green”。同样,在 OU 组中,我们有“管理员”、“用户”和“超级用户”。 LDA 目录结构在很大程度上依赖于可分辨名称 (DN),因为它用于标识每个条目。这是因为它包含唯一名称并用于派生相对可分辨名称 (RDN)。