ldap 身份认证 概念和原理介绍
相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使用案例”四个方面来做一个介绍。
我们在开始介绍之前先来看几个问题:
1. 我们日常的办公系统是不是有多个?
2. 每个系统之间是不是都有独立的账号密码?
3. 密码多了,有时候半天想不起来哪个密码对应哪个系统?
4. 每次新项目的开发,都需要重新开发和维护一套用户密码?
5. 维护多套系统的用户是不是非常头疼?
So,如今大家再也不用为上面的的问题头疼了,因为“LDAP统一认证服务”已经帮助大家解决这些问题了。那么相信大家对“LDAP统一认证服务”是干嘛的已经有一个大概的了解了吧?那我们开始今天要讲解的内容吧!
一、什么是LDAP?
(一)在介绍什么是LDAP之前,我们先来复习一个东西:“什么是目录服务?”
1. 目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。
2. 是动态的,灵活的,易扩展的。
如:人员组织管理,电话簿,地址簿。
(二)了解完目录服务后,我们再来看看LDAP的介绍:
LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级目录访问协议。
目录是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。
目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。
LDAP目录服务是由目录数据库和一套访问协议组成的系统。
(三)为什么要使用
LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”,可以大大降低重复开发和对接的成本。
我们拿开源系统(YAPI)做案例,只需做一下简单的几步配置就可以达到LDAP的单点登录认证了:
{
"ldapLogin": {"enable": true,"server": "ldap://l-ldapt1.ops.dev.cn0.qunar.com","baseDn": "CN=Admin,CN=Users,DC=test,DC=com","bindPassword": "password123","searchDn": "OU=UserContainer,DC=test,DC=com","searchStandard": "mail"}
}
是不是很方便呢?
二、LDAP的主要产品
细心的朋友应该会主要到,LDAP的中文全称是:轻量级目录访问协议,说到底LDAP仅仅是一个访问协议,那么我们的数据究竟存储在哪里呢?
来,我们一起看下下面的表格:
厂商 |
产品 |
介绍 |
SUN |
SUNONE Directory Server |
基于文本数据库的存储,速度快 。 |
IBM |
IBM Directory Server |
基于DB2 的的数据库,速度一般。 |
Novell |
Novell Directory Server |
基于文本数据库的存储,速度快, 不常用到。 |
Microsoft |
Microsoft Active Directory |
基于WINDOWS系统用户,对大数据量处理速度一般,但维护容易,生态圈大,管理相对简单。 |
Opensource |
Opensource |
OpenLDAP 开源的项目,速度很快,但是非主 流应用。 |
没错,这就是正常存储数据的地方,而访问这些数据就是通过我们上述所说的LDAP。相信到这里大家应该了解两者之间的关系了吧!
三、LDAP的基本模型
每一个系统、协议都会有属于自己的模型,LDAP也不例外,在了解LDAP的基本模型之前我们需要先了解几个LDAP的目录树概念:
(一)目录树概念
1. 目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。
2. 条目:每个条目就是一条记录,每个条目有自己的唯一可区别的名称(DN)。
3. 对象类:与某个实体类型对应的一组属性,对象类是可以继承的,这样父类的必须属性也会被继承下来。
4. 属性:描述条目的某个方面的信息,一个属性由一个属性类型和一个或多个属性值组成,属性有必须属性和非必须属性。
(二)DC、UID、OU、CN、SN、DN、RDN
关键字 |
英文全称 |
含义 |
dc |
Domain Component |
域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
uid |
User Id |
用户ID songtao.xu(一条记录的ID) |
ou |
Organization Unit |
组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
cn |
Common Name |
公共名称,如“Thomas Johansson”(一条记录的名称) |
sn |
Surname |
姓,如“许” |
dn |
Distinguished Name |
“uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
rdn |
Relative dn |
相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” |
(三)基本模型:
信息模型:
命名模型:
功能模型:
安全模型:
四、LDAP的使用
那我们是如何访问LDAP的数据库服务器呢?
统一身份认证主要是改变原有的认证策略,使需要认证的软件都通过LDAP进行认证,在统一身份认证之后,用户的所有信息都存储在AD Server中。终端用户在需要使用公司内部服务的时候,都需要通过AD服务器的认证。
那么程序中是如何访问的呢? 我们以PHP脚本作为例子:
$ldapconn = ldap_connect(“10.1.8.78")
$ldapbind = ldap_bind($ldapconn, 'username', $ldappass);
$searchRows= ldap_search($ldapconn, $basedn, "(cn=*)");
$searchResult = ldap_get_entries($ldapconn, $searchRows);
ldap_close($ldapconn);
1. 连接到LDAP服务器;
2. 绑定到LDAP服务器;
3. 在LDAP服务器上执行所需的任何操作;
4. 释放LDAP服务器的连接;
ldap 身份认证 概念和原理介绍相关推荐
- LDAP概念和原理介绍
LDAP概念和原理介绍 相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从"什么是LDAP"."LDAP的主要产品 ...
- LDAP服务器的概念和原理简单介绍
仅用于个人学习,侵删. 本文转自:LDAP服务器的概念和原理简单介绍 [http://seanlook.com/2015/01/15/openldap_introduction/] 1. 目录服务 目 ...
- LDAP身份认证管理最佳实践
LDAP身份认证管理最佳实践 轻型级目录访问协议(LDAP)为数据库访问控制提供了一个开源的,跨平台的解决方案.它是企业级的通用身份和访问管理(IAM)工具,但如果不遵循适当的管理协议,则可能会带来严 ...
- 网络安全——身份认证与PKI原理
1. 概述 身份认证:系统审查用户身份,确定该用户是否具有对某种资源的访问.使用权限 AAA/3A:Authentication(认证).Authorization(授权).Accounting(审计 ...
- CA认证与HTTPs原理介绍
今天继续给大家介绍Linux运维相关知识,本文主要内容是CA认证与HTTPs原理知识. 一.https与ssl 我们在访问网站时,使用的比较常见的是https协议,https协议其实就是在http协议 ...
- SPIRE 架构、基本概念及原理介绍
这篇文章将向你介绍 SPIRE 的架构.基本概念及原理. SPIRE 是 SPIFFE API[1] 的一个生产就绪的实现,它执行节点和工作负载认证,以便根据一组预先定义的条件,安全地向工作负载发出 ...
- xss基本概念和原理介绍
跨站脚本漏洞-目录 xss漏洞概述 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的. x ...
- 结合 Authing 实现 AWS 云上的身份认证与授权
身份认证与 Cognito 服务介绍 在 Web 或 App 开发过程中,用户的认证和权限处理是非常重要的一个模块,这里包括用户注册.登录认证及管理对应的权限.除了用户名密码登录外,通过第三方社交帐号 ...
- Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权
在上一讲中,我们已经完成了一个完整的案例,在这个案例中,我们可以通过Angular单页面应用(SPA)进行登录,然后通过后端的Ocelot API网关整合IdentityServer4完成身份认证.在 ...
- Spring Boot2整合Shiro(1):身份认证
Spring Boot2整合Shiro(1):身份认证 前言 本文主要介绍了在Spring Boot2项目中整合Shiro实现登录认证.本文假设读者已经对Shiro和基于RBAC的权限控制系统有了基本 ...
最新文章
- 基于 EntityFramework 的数据库主从读写分离架构(2)- 改进配置和添加事务支持...
- ItemCommandVSItemDataBound
- 来自Riot 的一份游戏美术教程(一):核心原则
- 6-6-阶段案例:传智书城JSP页面
- 【Java数据结构】二叉排序树
- c51语言花样流水灯汇编程序,基于51单片机的各种花样的流水灯c51程序
- docker搭建nginx+php+mysql环境
- asp.net中引入外部js文件,容易产生中文乱码
- maven依赖关系中 scope属性含义
- 主流HTML5游戏框架的分析和对比(Construct2、ImpactJS、CreateJS、Cocos2d-html5……) .
- 斜齿轮重合度计算公式_斜齿齿轮传动中重合度计算的探讨
- 生信高性能服务器,【玩转腾讯云】使用云服务器进行生信数据分析
- 转载CSDN博客时的错误
- 【3D建模制作技巧分享】Maya模型如何导入zbrush
- 太阳能无线充电系统设计
- 超级账本 —— 面向企业的分布式账本
- 安装思源笔记/siyuan插件pandoc
- 重疾险对比:“瑞泰瑞享安康” V.S. “信泰百万无忧”
- 会议预定管理系统php,会议小管家会议预约管理系统
- DEV GridView 部分属性
热门文章
- 基于STM32和ESP8266的智能灌溉系统【土壤湿度监测继电器OLED显示WIFI控制器APP水泵】
- 从《征途》看互联网盈利模式的设计
- 呼叫中心语音外呼营销系统软件成企业首选
- 程序员垃圾简历长什么样?
- cns/clns搭建给clnc(udp转发)
- [转载]使用 Abbot 框架自动化测试 Eclipse 插件的用户界面,第 2 部分
- 在自平衡中角动量守恒的原理分析
- MySQL(一)-MySQL安装、数据库的创建和操作、CRUD、MySQL常用函数、MD5加密
- Python数据处理Tips数据预处理操作方法汇总
- 电子板书:Word,PPT,PDF手写批注很轻松