什么是LDAP?
LDAP是一种基于TCP/IP的目录访问协议,LDAP服务器主要用于存储不经常改变的数据,例如电子邮件地址和联系人列表。LDAP通过定义多种操作来实现其功能,包括用于用户认证和授权的绑定和查询操作。
什么是LDAP?
LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种基于TCP/IP的目录访问协议。LDAP采用客户端/服务器架构,服务器用于存储数据,客户端提供操作目录信息树的工具。
LDAP也可以说成是一种数据库,通常说的LDAP是指运行这个数据库的服务器,LDAP服务器主要用于存储不经常改变的数据,例如:
企业员工信息,如姓名、电话、邮箱等;
公用证书和安全密钥;
公司的物理设备信息,如服务器,它的IP地址、存放位置、厂商、购买时间等;
为什么要使用LDAP?
随着一个公司的发展,员工账号的数量会越来越大,维护工作也会越来越繁琐。如果能将这些账号信息等统一到一个文件中进行管理,无疑会大大提高管理员的和员工的工作效率。LDAP目录服务正是基于这些应用实现的。
通过LDAP目录服务,企业可以集中管理用户身份、权限和资源访问,从而提高安全性和效率。 例如,许多企业使用LDAP来实现单点登录(SingleSignOn,SSO),使用户只需一次登录即可访问多个应用程序和服务。 此外,LDAP还被广泛应用于邮件服务器、VPN、文件共享和打印服务中。
LDAP和Active Directory的区别?
Active Directory是一个由微软开发的专有目录服务,用于在Windows域环境中存储和管理目录信息,并提供身份验证和授权服务,它是Windows操作系统的一部分,并与其他微软产品紧密集成。Active Directory不仅仅是一个LDAP服务器,还包括多个服务组件,如域服务、轻量目录服务、证书服务、联合服务和权限管理服务。
总之: Active Directory = LDAP服务器 + LDAP应用(Windows域控等),LDAP和Active Directory主要关键区别如下表所示:
差别点 | LDAP | Active Directory(AD) |
|---|---|---|
协议与服务 | LDAP是一种开放的、供应商中立的协议。 | Active Directory是一个由微软开发的专有目录服务。 |
功能范围 | LDAP主要用于目录服务的查询和身份验证。 | Active Directory提供更广泛的功能,包括组策略、域加入和单点登录等。 |
平台兼容性 | LDAP可以在多种操作系统上运行。 | Active Directory主要用于Windows环境。 |
数据存储 | LDAP通常用于存储静态数据,如用户名和密码。 | Active Directory可以存储更多动态数据和复杂的组织结构。 |
LDAP是如何工作的?
LDAP是让服务器与Active Directory或其他目录服务器之间能够通信的语言。它使客户端请求、服务器响应和数据格式化等消息能够在服务器和客户端应用程序之间流动。
LDAP存储结构
LDAP的存储结构是一种树形结构,由条目和属性组成,常用的概念如下:
目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。
条目:每个条目就是一条记录,如用户或设备等。每个条目有自己的唯一可区别的名称(DN)。
属性:描述条目的信息,如用户名、密码和电子邮件地址等。
LDAP目录树结构如下图所示:
图1-1 LDAP目录树结构图
LDAP的目录树由以下组成:
DN(Distinguished Name):一条记录的详细位置,例如uid=clara,ou=ca,dc=global,dc=net。
DC(Domain Controller):一条记录所属区域(哪一棵树)。
OU(Organization Unit):一条记录所属组织(哪一个分支)。
CN(Common Name):一条记录的名字。
基准DN:根节点DN(一棵树的最顶部)。
LDAP身份认证
LDAP身份认证是一种基于目录服务的身份验证机制,用于验证用户的身份,并授权访问系统资源。通过LDAP身份认证机制,企业可以统一管理用户身份数据,集中认证和授权,同时实现系统的高扩展性与安全性。
图1-2 LDAP身份认证流程图
用户请求登录输入用户名和密码。
客户端与LDAP服务器通信,构造用户DN,使用DN和密码尝试认证。
LDAP服务器验证密码,对比存储的密码哈希值与用户输入的密码。
返回验证结果。
若认证成功,则用户登录成功。
LDAP有哪些应用场景?
多平台统一认证
LDAP可以实现多平台统一认证,对于多个IT系统,员工可以使用同一个账号,访问所有的IT系统,例如员工可以使用同一个账号登录共享文件、邮箱、WIFI、NCE-Campus等。例如:企业将登录信息统一部署在LDAP服务器上,将NCE-Campus和LDAP服务器对接,对接成功后可以统一使用LDAP账号登录NCE-Campus。
图1-3 LDAP多平台统一认证
通过LDAP认证接入网络
用户接入园区网络时,输入用户名密码后,NCE-Campus将用户信息发往LDAP服务器进行身份认证,认证成功后,再对用户授权可以访问的网络。
图1-4 通过LDAP认证接入网络