qq ldap认证_ldap认证服务器搭建_ldap认证(5)

include/etc/openldap/schema/core.schema

include/etc/openldap/schema/cosine.schema

include/etc/openldap/schema/inetorgperson.schema

include/etc/openldap/schema/nis.schema

提示：通常使用系统提供的schema就可解决大部分应用。管理员也可以自己设计制定schema，一般包括属性定义（AttributeDefinition）、类定义（ClassDefinition）以及语法定义（SyntaxDefinition）等部分。这里就不介绍具体的设计方法了。

管理OpenLDAP

启动OpenLDAP服务器程序之后，接下来的操作就是通过客户端程序对目录进行操作，包括添加、修改、删除和搜索数据等操作。能对LDAP进行操作的客户端程序很多，下面简单介绍在Linux命令方式下进行这些操作的方法。

向目录中添加数据

初始状态下，LDAP是一个空目录，即没有任何数据。可通过程序代码向目录中添加数据，也可使用OpenLDAP客户端工具ldapadd命令来完成添加数据的操作，该命令可将一个LDIF文件中的条目添加到目录。因此，需要首先创建一个LDIF文件，然后再进行添加操作。

1．LDIF文本条目格式

LDIF用文本格式表示目录的信息，以方便用户创建、阅读和修改。在LDIF文件中，一个条目的基本格式如下：

# 注释

dn: 条目名

属性描述: 值

属性描述: 值

属性描述: 值

... ...

dn行类似于关系中一条记录的关键字，不能与其他dn重复。一个LDIF文件中可以包含多个条目，每个条目之间用一个空行分隔。

例如，以下内容组成一个条目：

在以上文本中，各行含义如下：

第1行的dn定义该条目的标识。

第2～4行定义该条目的objectcCass，可以定义多个属性，如上面代码中定义了3个objectClass。条目的属性根据objectClass的不同而不同，有的objectClass有必须设置的属性。在2～4行的3个objectClass中，top没有必须定义的属性，dcobject必须定义属性dc，用来表示一个域名的部分，而organization必须定义属性o，用来表示一个组织的名称。

根据objectClass的要求，第5、6行分别定义属性dc和属性o的值。

2.了解objectClass

LDAP中，一个条目必须包含一个objectClass属性，且需要赋予至少一个值。每一个值将用作一条LDAP条目进行数据存储的模板；模板中包含了一个条目必须被赋值的属性和可选的属性。

objectClass有着严格的等级之分，最顶层是top和alias。例如，organizationalPerson这个objectClass就隶属于person，而person又隶属于top。

objectClass可分为以下3类：

结构型（Structural）：如person和organizationUnit；

辅助型（Auxiliary）：如extensibeObject；

抽象型（Abstract）：如top，抽象型的objectClass不能直接使用。

在OpenLDAP的schema中定义了很多objectClass，下面列出部分常用的objectClass的名称。

● account

● alias

● dcobject

● domain

● ipHost

● organization

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-31257-5.html