ldap认证_ldap统一用户认证_windows ldap认证(3)

绑定操作：一般常用的是使用简单密码的绑定。使用SSL/TLS绑定更加复杂，一般需要预先配置和多步操作，目前RFC没有对此作出规定。

解绑定操作：用于中断持续进行的LDAP操作，关闭连接。

放弃操作用于中断正在进行的操作。

1.5 Schema

目录的模式(schema)是一组规则,用来确定目录能存储什么和服务器和客户端在进行目录操作时如何对待数据。schema被LDAP各方(服务器、客户端、应用程序)用来作为数据交换的“标准”，以保证对数据理解的正确性,从而保证了LDAP协议的开放性。

schema也被用作目录中存储的数据的长度、范围和格式的强制约束。

最后,schema也有利于目录中数据的规整和对访问者权限的控制。

构成schema的元素有属性类型(attribute types)、对象类(object classes)、语法(syntaxes)、匹配规则(matching rules)、目录信息树内容规则(DIT content rules)、目录信息树结构规则(DIT strctural rules)和命名形式(name forms)。

1.5.1 属性类型(attribute types)

属性类型控制属性格式,包括属性的语法、匹配规则、是否可以多值、修改权限和用法等。属性类型可直接由0或多个属性类型继承而来,形成属性类型的层次关系树。

1.5.2 对象类(object classes)

对象类是“共享某些特性的对象的识别家族”,即对象的模板。对象类通过定义条目中所含的属性来定义目录中的条目类型。

在LDAP目录中，所有的条目都必须定义objectClass这个属性。每个条目（LDAP Entry）都要定义自己的Object Classes。Object Class可以看作是LDAP Entry的模板，它定义了条目的属性集，包括必有属性（requited attribute）和可选属性（option attribute）。这里要着重指出的是，在LDAP的Entry中是不能像关系的表那样随意添加属性字段的，一个Entry的属性是由它所继承的所有Object Classes的属性集合决定的，此外可以包括LDAP中规定的“操作属性”（操作属性是一种独立于Object Class而存在的属性，它可以赋给目录中的任意条目）。如果你想添加的属性不在Object Classes定义属性的范畴，也不是LDAP规定的操作属性，那么是不能直接绑定（在LDAP中，给Entry赋予属性的过程称为绑定）到条目上的，你必须自定义一个含有你需要的属性的Object Class，而后将此类型赋给条目。

1.5.3 语法(syntaxes)

语法(syntaxes) 规定了如何用具体的语言和格式来操作目录中的条目数据。

1.5.4 匹配规则(matching rules)

为服务器在搜索操作过程中如何比较字符串提供准则。在国际搜索中，匹配规则告知服务器所用的对照顺序及运算符。

用途：

Ø server执行查询或比较操作时比较属性值

Ø server修改条目时确定要添加或删除的属性值

Ø server在比较DN和条目名称时使用

其他几个元素在LDAPv3中没有提到，在这里就不做介绍了。

1.6 安全特性

LDAP的认证分为：无认证、基本认证、SSL/TLS三种，简单介绍一下。

无认证(匿名) 是最简单的一种方法，这种方法只在没有数据安全问题并且不涉及访问控制权限的时候才能使用。例如，当你的目录是任何人都可以浏览的地址簿时，就是这种情况。当你调用API的绑定操作时分辨名(DN)和密码保留为空，目录会假定是无认证，LDAP服务器会自动假定一个匿名用户会话并且服务相应的访问控制权限。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-24623-3.html