對(duì)目錄服務(wù)中LDAP技術(shù)的分析

摘 要:隨著社會(huì)經(jīng)濟(jì)水平的發(fā)展和新經(jīng)濟(jì)時(shí)代的到來(lái)，信息量和信息交流日益劇增。國(guó)家行政部門和企業(yè)需要進(jìn)一步提供辦公效率和管理水平，其中信息管理占有很重要的地位。傳統(tǒng)的和現(xiàn)有的信息管理系統(tǒng)不能完全適應(yīng)這種發(fā)展，需要有新的方法、新的結(jié)構(gòu)、新的產(chǎn)品來(lái)滿足需求。以X.500和LDAP國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的目錄數(shù)據(jù)庫(kù)和互聯(lián)網(wǎng)技術(shù)可以在諸多方面滿足信息管理的新要求。改善現(xiàn)有信息管理過(guò)程中存在的不足，提高信息管理水平，越來(lái)越受到人們的廣泛關(guān)注。本文詳細(xì)介紹了目錄服務(wù)中LDAP技術(shù)。

關(guān)鍵詞:目錄服務(wù) LDAP

中圖分類號(hào):TP31 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2011)03(c)-0064-01

1 目錄服務(wù)基本概念

目錄服務(wù)是一種專用的數(shù)據(jù)庫(kù)，是存放資源信息的軟件的集合，它建立在ITU X.500和LDAP(輕型目錄訪問協(xié)議)等國(guó)際標(biāo)準(zhǔn)協(xié)議之上，采用樹狀的方式組織數(shù)據(jù)，在設(shè)計(jì)上以查詢效率為目標(biāo)，通過(guò)自身的特性和元目錄功能，可以和各應(yīng)用系統(tǒng)現(xiàn)行基礎(chǔ)結(jié)構(gòu)方便地集成，使來(lái)自不同系統(tǒng)的信息資源在目錄內(nèi)部實(shí)現(xiàn)同步，從而將信息資源整合在目錄服務(wù)系統(tǒng)中。另外，采用目錄服務(wù)系統(tǒng)，各種數(shù)據(jù)還可以保存在原有的數(shù)據(jù)庫(kù)中，用戶通過(guò)向目錄服務(wù)器發(fā)出查詢請(qǐng)求，能夠盡快從現(xiàn)存數(shù)據(jù)庫(kù)中查詢信息。

NetWare和Windows NT服務(wù)器、TCP/IP客戶軟件及相應(yīng)瀏覽器是大多數(shù)目錄服務(wù)的基礎(chǔ)。

目錄客戶機(jī):是所有包含在目錄服務(wù)器上訪問特定目錄的代理軟件系統(tǒng)、網(wǎng)絡(luò)部件或應(yīng)用程序。客戶機(jī)的復(fù)雜程度各異。LDAP客戶機(jī)只有基本的查找功能，而更復(fù)雜的客戶機(jī)可以和其它服務(wù)連接，收集系統(tǒng)報(bào)表和配置信息。

目錄服務(wù)器:是配有用于特定目錄服務(wù)和響應(yīng)由目錄客戶機(jī)發(fā)出的查找請(qǐng)求的數(shù)據(jù)庫(kù)/資源庫(kù)系統(tǒng)。

輕型目錄訪問協(xié)議(LDAP):LDAP是一種由Netscape公司開發(fā)并為眾多新瀏覽器支持的目錄訪問協(xié)議。各主要目錄服務(wù)器供應(yīng)商將支持通過(guò)LDAP訪問其產(chǎn)品。

目錄化管理:是采用標(biāo)準(zhǔn)目錄服務(wù)作為其基礎(chǔ)資源庫(kù)和通訊設(shè)施的網(wǎng)絡(luò)或系統(tǒng)管理方案。現(xiàn)有的例子包括桌面管理(Novell公司的ZENworks)、DNS/DHCP地址管理(Lucent公司的QIP、Check Point軟件技術(shù)公司的MetaInfo)和網(wǎng)絡(luò)配置(FORE系統(tǒng)公司的Application Aware)。

2 目錄服務(wù)與LDAP

目錄服務(wù)是按照樹狀信息組織模式，實(shí)現(xiàn)信息管理和服務(wù)接口的一種方法。目錄服務(wù)系統(tǒng)一般由兩部分組成:第一部分是數(shù)據(jù)庫(kù)，一種分布式的數(shù)據(jù)庫(kù)，且擁有一個(gè)描述數(shù)據(jù)的規(guī)劃；第二部分則是訪問和處理數(shù)據(jù)庫(kù)有關(guān)的詳細(xì)的訪問協(xié)議。

3 LDAP技術(shù)分析

LDAP數(shù)據(jù)庫(kù)就像Sybase、Oracle、Informix或Microsoft的數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)是用于處理查詢和更新關(guān)系型數(shù)據(jù)庫(kù)那樣，LDAP服務(wù)器也是用來(lái)處理查詢和更新LDAP目錄的。換句話來(lái)說(shuō)LDAP目錄也是一種類型的數(shù)據(jù)庫(kù)，但是不是關(guān)系型數(shù)據(jù)庫(kù)。不象被設(shè)計(jì)成每分鐘需要處理成百上千條數(shù)據(jù)變化的數(shù)據(jù)庫(kù)，例如:在電子商務(wù)中經(jīng)常用到的在線交易處理(OLTP)系統(tǒng)，LDAP主要是優(yōu)化數(shù)據(jù)讀取的性能。

3.1 LDAP四種基本模型

(1)信息模型:描述LDAP的信息表示方式。

在LDAP中信息以樹狀方式組織，在樹狀信息中的基本數(shù)據(jù)單元是條目，而每個(gè)條目由屬性構(gòu)成，屬性中存儲(chǔ)有屬性值；LDAP中的信息模式，類似于面向?qū)ο蟮母拍睿贚DAP中每個(gè)條目必須屬于某個(gè)或多個(gè)對(duì)象類(Object Class)，每個(gè)Object Class由多個(gè)屬性類型組成，每個(gè)屬性類型有所對(duì)應(yīng)的語(yǔ)法和匹配規(guī)則；對(duì)象類和屬性類型的定義均可以使用繼承的概念。每個(gè)條目創(chuàng)建時(shí)，必須定義所屬的對(duì)象類，必須提供對(duì)象類中的必選屬性類型的屬性值，在LDAP中一個(gè)屬性類型可以對(duì)應(yīng)多個(gè)值。

(2)命名模型:描述LDAP中的數(shù)據(jù)如何組織。

LDAP中的命名模型，也即LDAP中的條目定位方式。在LDAP中每個(gè)條目均有自己的DN和RDN。DN是該條目在整個(gè)樹中的唯一名稱標(biāo)識(shí)，RDN是條目在父節(jié)點(diǎn)下的唯一名稱標(biāo)識(shí)，如同文件系統(tǒng)中，帶路徑的文件名就是DN，文件名就是RDN。

(3)功能模型:描述LDAP中的數(shù)據(jù)操作訪問。

在LDAP中共有四類10種操作:查詢類操作，如搜索、比較；更新類操作，如添加條目、刪除條目、修改條目、修改條目名；認(rèn)證類操作，如綁定、解綁定；其它操作，如放棄和擴(kuò)展操作。

(4)安全模型:描述LDAP中的安全機(jī)制

LDAP中的安全模型主要通過(guò)身份認(rèn)證、安全通道和訪問控制來(lái)實(shí)現(xiàn)。

身份認(rèn)證。在LDAP中提供三種認(rèn)證機(jī)制，即匿名、基本認(rèn)證和SASL(Simple Authentication and Secure Layer)認(rèn)證。匿名認(rèn)證即不對(duì)用戶進(jìn)行認(rèn)證，該方法僅對(duì)完全公開的方式適用；基本認(rèn)證均是通過(guò)用戶名和密碼進(jìn)行身份識(shí)別，又分為簡(jiǎn)單密碼和摘要密碼認(rèn)證；SASL認(rèn)證即LDAP提供的在SSL和TLS安全通道基礎(chǔ)上進(jìn)行的身份認(rèn)證，包括數(shù)字證書的認(rèn)證。

通訊安全在LDAP中提供了基于SSL/TLS的通訊安全保障。SSL/TLS是基于PKI信息安全技術(shù)，是目前Internet上廣泛采用的安全服務(wù)。LDAP通過(guò)StartTLS方式啟動(dòng)TLS服務(wù)，可以提供通訊中的數(shù)據(jù)保密性、完整性保護(hù)；通過(guò)強(qiáng)制客戶端證書認(rèn)證的TLS服務(wù)，同時(shí)可以實(shí)現(xiàn)對(duì)客戶端身份和服務(wù)器端身份的雙向驗(yàn)證。

訪問控制雖然LDAP目前并無(wú)訪問控制的標(biāo)準(zhǔn)，但從一些草案中或是事實(shí)上LDAP產(chǎn)品的訪問控制情況，我們不難看出:LDAP訪問控制異常的靈活和豐富，在LDAP中是基于訪問控制策略語(yǔ)句來(lái)實(shí)現(xiàn)訪問控制的，這不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)，它是通過(guò)基于訪問控制列表來(lái)實(shí)現(xiàn)的，無(wú)論是基于組模式或角色模式，都擺脫不了這種限制。

在使用關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)開發(fā)應(yīng)用時(shí)，往往是通過(guò)幾個(gè)固定的數(shù)據(jù)庫(kù)用戶名訪問數(shù)據(jù)庫(kù)。對(duì)于應(yīng)用系統(tǒng)本身的訪問控制，通常是需要建立專門的用戶表，在應(yīng)用系統(tǒng)內(nèi)開發(fā)針對(duì)不同用戶的訪問控制授權(quán)代碼，這樣一旦訪問控制策略變更時(shí)，往往需要代碼進(jìn)行變更。總之一句話，關(guān)系型數(shù)據(jù)庫(kù)的應(yīng)用中用戶數(shù)據(jù)管理和數(shù)據(jù)庫(kù)訪問標(biāo)識(shí)是分離的，復(fù)雜的數(shù)據(jù)訪問控制需要通過(guò)應(yīng)用來(lái)實(shí)現(xiàn)。

在LDAP中，可以把整個(gè)目錄、目錄的子樹、制定條目、特定條目屬性集或符合某過(guò)濾條件的條目作為控制對(duì)象進(jìn)行授權(quán)；可以把特定用戶、屬于特定組或所有目錄用戶作為授權(quán)主體進(jìn)行授權(quán)；最后，還可以定義對(duì)特定位置(例如IP地址或DNS名稱)的訪問權(quán)。

參考文獻(xiàn)

[1]辛春生，等.分布式原理與范型[M].清華大學(xué)出版社，2008.

[2]劉軍，吳春鶯.實(shí)用數(shù)據(jù)再分析法[M].重慶大學(xué)出版社.