ldap认证_ldap统一用户认证_windows ldap认证

1 LDAP概述1.1 LDAP简介

LDAP的英文全称是Lightweight Directory Access Protocol，简称为LDAP。它是基于X.500标准的，与X.500不同的是，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义， LDAPv3由以下RFC定义：

RFC2251——Lightweight Directory Access Protocol (v3)

RFC2252——Lightweight Directory Access Protocol (v3):Attribute Syntax Definitions

RFC2253——Lightweight Directory Access Protocol (v3):UTF-8 String Representation of Distinguished Names

RFC2254——The String Representation of LDAP Search Filters

RFC2255——The LDAP URL Format

RFC2256——A Summary of the X.500(96) User Schema for use with LDAPv3

RFC2829——Authentication Methods for LDAP

RFC2830——Lightweight Directory Access Protocol (v3): Extension for Transport Layer Security

RFC3377——Lightweight Directory Access Protocol (v3):Technical Specification

LDAP是目录服务（DAP）在TCP/IP上的实现。它是对X500的目录协议的移植，但是简化了实现方法，所以称为轻量级的目录服务。

LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。

LDAP是一个存储静态相关信息的服务，适合“一次记录多次读取”。LDAP对查询进行了优化，与写性能相比LDAP的读性能要优秀很多。

在LDAP中，目录是按照树型结构组织的，目录由条目（Entry）组成，条目由属性集合组成，每个属性说明对象的一个特征。每个属性有一个类型和一个或多个值。属性类型说明包含在此属性中的信息的类型，而值包含实际的数据。条目相当于关系中表的记录；条目是具有区别名DN（Distinguished Name）的属性（Attribute）集合，DN相当于关系表中的关键字（Primary Key）；属性由类型（Type）和多个值（Values）组成，相当于关系中的域（Field）由域名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不是关系中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置和组织关系进行组织，非常的直观。LDAP把数据存放在文件中，为提高效率使用基于索引的文件，而不是关系。

1.2 组织数据

LDAP采用目录的方式来组织数据。目录的典型应用是UNIX，在UNIX的文件系统中，最顶层是根目录（root），在根目录的下面有很多的文件和目录。

但是LDAP目录和UNIX文件系统之间有三点不同：

第一是LDAP模型没有真正的根条目。文件系统有一个根目录，它是所有文件和目录的祖先。在LDAP目录中，根条目是概念性的，不作为一个可以存放数据的条目存在。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-24623-1.html