LDAP:

的英文全稱是Lightweight?Directory?Access Protocol，簡稱為LDAP。LDAP是輕量目錄訪問協議^[1]，它是基于X.500標準的，但是簡單多了并且可以根據需要定制。LDAP目錄中可以存儲各種類型的數據：電子郵件地址、郵件路由信息、人力資源數據、公用密匙、聯系人列表，等等.

簡單的說來，LDAP是一個得到關于人或者資源的集中、靜態數據的快速方式，用來發布目錄信息到許多不同資源的協議。通常它都作為一個集中的地址本使用，類似于我們所使用諸如NIS(Network Information Service)、DNS (Domain Name Service)等網絡目錄，也類似于你在花園中所看到的樹木。

LDAP和關系數據庫是兩種不同層次的概念，后者是存貯方式（同一層次如網格數據庫，對象數據庫），前者是存貯模式和訪問協議。LDAP是一個比關系數據庫抽象層次更高的存貯概念，與關系數據庫的查詢語言SQL屬同一級別。LDAP最基本的形式是一個連接數據庫的標準方式。該數據庫為讀查詢作了優化。因此它可以很快地得到查詢結果，不過在其它方面，例如更新，就慢得多。從另一個意義上 LDAP是實現了指定的數據結構的存貯，它是一種特殊的數據庫。但是LDAP和一般的數據庫不同，明確這一點是很重要的。 LDAP對查詢進行了優化，與寫性能相比LDAP的讀性能要優秀很多。

服務器

LDAP服務器可以用“推”或“拉”的方法復制部分或全部數據，例如：可以把數據“推”到遠程的辦公室，以增加數據的安全性。復制技術是內置在LDAP服務器中的而且很容易配置。如果要在DBMS中使用相同的復制功能，數據庫廠商就會要你支付額外的費用，而且也很難管理。

什么時候該用LDAP存儲數據？

如果下面每一個問題的答案都是"是"，那么把數據存在LDAP中就是一個好主意。

l 需要在任何平臺上都能讀取數據嗎？

l 每一個單獨的記錄項是不是每一天都只有很少的改變？

信息模型：描述LDAP的信息表示方式

在LDAP中信息以樹狀方式組織，在樹狀信息中的基本數據單元是條目，而每個條目由屬性構成，屬性中存儲有屬性值；LDAP中的信息模式，類似于面向對象的概念，在LDAP中每個條目必須屬于某個或多個對象類（Object Class），每個Object Class由多個屬性類型組成，每個屬性類型有所對應的語法和匹配規則；對象類和屬性類型的定義均可以使用繼承的概念。每個條目創建時，必須定義所屬的對象類，必須提供對象類中的必選屬性類型的屬性值，在LDAP中一個屬性類型可以對應多個值。

在LDAP中把對象類、屬性類型、語法和匹配規則統稱為Schema，在LDAP中有許多系統對象類、屬性類型、語法和匹配規則，這些系統Schema在LDAP標準中進行了規定，同時不同的應用領域也定義了自己的Schema，同時用戶在應用時，也可以根據需要自定義Schema。

LDAP中為了加快查詢的速度，針對不同的數據類型，可以提供不同的匹配方法，如針對字符串類型的相等、模糊、大于小于均提供自己的匹配規則。

過濾器和語法

LDAP是一個查詢為主的記錄結構，無論是何種查詢方式，最終都由過濾器缺點查詢的條件。過濾器相當于SQL中的WHERE子句。任何LDAP的類過濾和字符串都必須放在括號內，如（objectclass=*）,指列出所有類型的記錄（不過分類）。

可以使用=，>=，<=，~=（約等于）進行比較，如(number<=100)。合并條件是最怪的，必須把操作符放在兩個操作對象的前面而不是中間，單一操作對象用括號括起來。如

l A與B，不是A&B，而是（&(A)(B)）。

l 或使用"|"表示；

l 非使用"！"表示。

l 對于"與"，或"或"在操作符后可以跟多個條件表達式，但非后則只參是單個表達式。

目錄優勢：

?

1.LDAP目錄服務可以有效地解決眾多網絡服務的用戶賬戶問題。

?

2.LDAP目錄服務規定了統一的身份信息數據庫、身份認證機制和接口，實現了資源和信息的統一管理，保證了數據的一致性和完整性。

?

3.LDAP目錄服務是以樹狀的層次結構來描述數據信息的，此種模型適應了眾多行業應用的業務組織結構。^[3]

LDAP 使用說明

• LDAP 支持 使用 LADP 與 Windows AD 的用戶作為 jumpserver 登錄用戶
• 已經存在的用戶不能與要登錄的 LDAP 用戶有用戶名和郵箱同名, 具有唯一性

LDAP 設置說明

LDAP地址 ldap://serverurl:389 或者 ldaps://serverurl:636(需要勾選ssl) # 此處是設置LDAP的服務器,推薦使用IP, 防止解析問題綁定DN cn=administrator,cn=Users,dc=jumpserver,dc=org # 這里是設置認證用戶的信息, jumpserver會使用這個用戶去校驗ldap的信息是否正確密碼 # 上面認證用戶的密碼用戶OU ou=jumpserver,dc=jumpserver,dc=org # 這里是設置用來登錄jumpserver的組織單元, 比如我要用某個ou的用戶來登錄jumpserver # 多OU用法 ou=jumpserver,dc=jumpserver,dc=org | ou=user,dc=jumpserver,dc=org | ou=xxx,dc=jumpserver,dc=org用戶過濾器 (cn=%(user)s) # 這里是設置篩選ldap用戶的哪些屬性, 不能有多余的空格LADP屬性映射 {"username": "cn", "name": "sn", "email": "mail"} username name email 是jumpserver的用戶屬性(不可更改) cn sn mail 是ldap的用戶屬性(可自定義) # 這里的意思是, 把ldap用戶的屬性映射到jumpserver上使用SSL # 勾選后 LDAP地址 需要設置成 ldaps://serverurl:636 啟動LDAP認證 # 如果需要使用 LDAP或域用戶 登錄 jumpserver,則必選

補充

DN 一定要是完整的DN, 不能跳過OU, 可以使用其他工具查詢 如：cn=admin,ou=aaa,dc=jumpserver,dc=org,必須要寫成cn=admin,ou=aaa,dc=jumpserver,dc=org 不能縮寫成cn=admin,dc=jumpserver,dc=org用戶OU 用戶OU可以只寫頂層OU, 不寫子OU 如：ou=aaa,ou=bbb,ou=ccc,dc=jumpserver,dc=org,可以只寫ou=ccc,dc=jumpserver,dc=org,根據需求自行修改用戶過濾器 篩選用戶的規則, 點擊測試連接就是根據這個規則到用戶OU里面去檢索用戶, 可以自定義規則 如：(uid=%(user)s) 或 (sAMAccountName=%(user)s) 等, 這里的屬性需要與下面的屬性映射設置一致LADP屬性映射 username name email 這三項不可修改刪除, 屬性映射的字段必須存在, 且登錄用戶名和郵件不可以重復 如：{"username": "uid", "name": "sn", "email": "mail"} 或 {"username": "sAMAccountName", "name": "cn", "email": "mail"} "username": "uid" 這里的 uid 必須和上面的 (uid=%(user)s) 這里的 uid 一致 如果上面是(sAMAccountName=%(user)s) 那么下面也應該修改為{"username": "sAMAccountName", username 是 jumpserver 的用戶用戶名, name 是 jumpserver 的用戶名稱, mail 是 jumpserver 用戶的郵箱 屬性映射的意思是把ldap的什么屬性來作為jumpserver的用戶用戶名, 把ldap的什么屬性作為jumpserver的用戶名稱, 把ldap的什么屬性作為jumpserver的用戶郵箱

?

轉載于:https://www.cnblogs.com/sensenma533/p/10655079.html

總結

以上是生活随笔為你收集整理的LDAPit's usage的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。