ldap认证_ldap统一用户认证_windows ldap认证(2)

第二是目录的每个节点都可以包含数据，任何节点都可能作为一个容器，即LDAP条目允许在他的下面有子节点。文件系统的每个节点或者是文件或者是目录，但不能同时是二者。在文件系统中，只有目录可以有子节点，而且只有文件可以包含数据。LDAP中的条目既可以是数据同时也可以兼任目录的角色。

第三是节点命名方式的不同。LDAP名称与文件系统名称的方向是相反的。文件系统的表示方法是从根目录到深层目录一层一层表示，而LDAP则相反，将叶子节点放在前面逐层目录向上推导，最后写出根目录，下一小节详细介绍。

1.3 表示数据

LDAP中记录的表示方法，首先确认以下几个概念：

dn ：Distinguished Name；唯一可区别的名称，记录了一条记录的位置

dc ：一条记录所属区域

ou ：Organization Unit；一条记录所属组织

cn/uid：Common Name；可用来区分身份的属性，等同于一条记录的名字/ID

一个完整的dn如下所示，以此查询得到一条完整的记录，然后再根据需要取出其中的指定的属性(Attribute)的值。

dn：cn=cc,ou=imcuser-test-ld,dc=zhjdtest,dc=com

如下所示的结构中，dn是从树的叶子节点逐层向根节点推导出的一条唯一路径，表明了这个数据结构中的唯一一条记录。ldap认证

按照以上dn在LDAP Server上查询到的数据如下：

1.4 操作数据1.4.1 查询类操作

查询类操作允许用户搜索目录并取回目录数据，有两个查询操作：查询和比较。

LDAP查询操作用来在目录中搜索条目，并取出单个目录条目。LDAP没有读操作，当需要读取某条目时，必须使用一种特殊格式的查询操作，其中限定了你要取回的条目内容。根据取回的条目内容，查询操作分为三种：一种是单个节点查询，是指查询指定了路径的条目的具体节点，这通常用来在目录中查找一个具体的条目；二是子节点查询，是指查询给出条件的节点的下级的条目；三是子树查询，是指查询从给出的条目为根的整个子树的所有条目。

另一类查询操作是比较操作，它用于检查某条目是否包含某个属性值。如果条目有此值，则比较结果为真；如果没有，则比较结果为假。

1.4.2 更新类操作

LDAP更新类操作包括四种操作：添加、删除、修改和重命名，这四种操作定义了在目录中操作数据的方式。

添加操作创建新的目录条目，它必须携带的两个参数为：要创建的条目的分辨名DN和新条目中包含的属性/属性值对的集合。为了使添加操作成功，必须满足以下四个前提条件：

Ø 新条目的父条目必须已经存在

Ø 不能存在同名（分辨名）的条目

Ø 新条目必须与有效的模式(schema)相一致

Ø 访问控制必须允许执行此操作

删除操作只需指明要删除的条目DN。只能删除目录的叶节点，即不支持删除子树。删除一经执行，无法恢复。为了使删除操作成功，必须满足以下两个前提条件：

Ø 要删除的条目的父条目必须存在

Ø 访问控制必须允许执行此操作

修改操作除指明操作的条目DN外，还包括一个数组。其中每个数组元素是一个修改动作，记录修改的操作类型和操作数据。修改操作功能强大，能完成对条目的属性类型和属性值的修改操作。

重命名，用于为条目重命名。它必须指定要重命名的条目、条目新的RDN和删除原RDN标志(delete-old-RDN)。为了使修改RDN操作成功，必须满足如下前提条件：

Ø 被重命名的条目必须已经存在

Ø 条目的新名称不能已经被其他条目使用

Ø 访问控制必须允许执行此操作

1.4.3 认证和控制类操作

认证和控制类操作包括两个LDAP认证操作——绑定和解绑定，一个控制操作——放弃。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-24623-2.html