LDAP
LDAP是轻型目录访问协议,活动目录存储了有关网络对象的信息,
并且让管理员和用户能够轻松查询和使用信息,LDAP支持跨平台,
可以单独在服务器上部署LDAP,实现与域控相同的功能,从而任何
应用都可以直接访问LDAP目录实现认证、信息获取、信息存储,
并不完全依赖域控。
LDAP基础
1.信息模型:
LDAP使用面向对象的数据库,用户对象、计算机对象等
对象类都拥有类和属性,设计时赋予了类继承特性,降低了复杂度。
2.命名模型:
LDAP中每个对象都用拥有独一无二的DN属性和RDN,DN是
整个树种唯一的表示,RDN是DN中每一个用逗号分割的表达式,
如:CN=Admin,DC=a3sroot,DC=com中就有3个RDN。
3.功能模型:
包括查询类操作如:搜索、比较、,更新类操作类如:添加条目
、删除条目、修改条目或条目名,认证类操作:如绑定、解绑的、
其他操作如放弃和扩展操作。
4.安全模型:
LDAP中的安全模型提供三种认证机制:匿名认证、基本认证和SASL认证。
匿名认证:
不对用户进行认证、该方法仅对完全公开的方式适用。
基本认证:
通过用户名和密码进行身份验证、又分为简单密码认证和摘要密码认证。
SASL:
SASL认证是在SSL和TLS安全通道基础上进行的身份验证,
包括数字证书的认证。
LDAP应用特性
1.名唯一:
不能出现相同对象名如拥有一个叫Admin的用户,将不允许出现一个admin组。
2.可继承:
可动态继承访问权限,比如子对象通过继承将自动获取并推迟父对象的访问权限,
如果更改父对象的访问权限,相同的更改会应用到父对象中的所有子对象。
3.可复制:
基于微软的只是一致性检查器(KCC)进行信息复制,KCC是一个在所有域控上运行
并为林生成复制拓展的内置进程,会根据网络状态和目录服务配置创建单独的复制拓展。
4.跨平台:
可以在任何计算机平台上使用LDAP客户端进行访问目录服务,可以很容易
在定制软件上完成LDAP支持。
5.树结构:
活动目录金支持OpenLDAP中的树形结构,这样可以更好地体现域内组织架构。
全局编录服务器
全局编录服务器(Global Catalog GC),默认情况下想新林创建的第一个域控服务器是
GC,此后将新的域控添加到已存在的域中需要指定成为GC,GC存储的是有关整个林中
所有域的所有对象信息,而不是仅存储一个活动目录域中的信息,KCC(一致性检查器)创建
复制拓扑,确保每一个活动目录都可以将分区内容传递到林中每一个GC中。
默认情况下域中的GC上监听端口TCP3268(或者3269用于SSL上的LDAP),
直接使用LDAP客户端连接GC相应端口即可访问全局目录,当使用该端口连接
将只允许只读方式。
LDAP定义
LDAP使用的是X.500标准定义的拥有以下名词DC、OU、CN、DN、RDN、UPN、
Container、FQDN。
DC(域组件 Domain Component):
如果你的你的域名叫做ldap.com的话那么你的DC全称叫做
DC=ldap,DC=com
OU(Organiaztion Unit 组织单位):
OU最多可以拥有四级每级最多32个字符,OU中包含对象、容器
还可以包含其他组织单位,组织单位还可以链接组策略。
CN(Common Name 通用名称):
是对象的名称比如在Usersr容器下有一个叫test的用户
CN=test,CN=Users,DC=xie,DC=com
可以发现看到了有两个CN这里的CN=Users比较特殊他不是OU而是容器,
下面将讲解说明是容器。
文章来源:https://www.toymoban.com/news/detail-671744.html
Container(容器):
容器相较于OU最大的区别就是容器可以包含其他对象、比如用户、计算机等
但是不能在嵌套其他容器或者OU,而OU是可以嵌套其他OU或者容器的。
比如Users容器下就是所有用户。
CN=Users,DC=xie,DC=com
DN(Distinguished Name 可分辨名称)
AD活动目录中每个对象都拥有完全唯一的DN,DN有三个属性分别是DC、OU、CN、
DN也可以表示为LDAP的某个目录以入域的主机名DESKTOP-IOFJA89为例子,
它存在于Computers容器中那么他的DN全程就是,CN=DESKTOP-IOFJA89,CN=Computers,DC=xie,DC=com
文章来源地址https://www.toymoban.com/news/detail-671744.html
RDN(相对可分辨名称):
与目录结构无关,比如RDN叫CN=Administrator,CN=Administrator,CN=Users,DC=xie,DC=com
可以具有相同的RDN,但不能具有相同的DN。
UPN(User Principal Name 用户主体名称):
用户的可分辨名称,用户登录时最好输入UPN,因为无论用户的账号被移动到了那个域中
UPN都不会变化,比如admin的UPN叫做admin@xie.com
FQDN(Fully Qualified Domain Name 全限定域名)
跟UPN其实差不多,UPN代表是用户那么FQDN代表的就是机器,比如DESKTOP-IOFJA89为例子FQDN
叫做DESKTOP-IOFJA89.xie.com
到了这里,关于LDAP协议的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
