LDAP轻型目录访问协议介绍及应用

LDAP不难,难的是资料太少,尤其是原理和应用方面的,以安装介绍居多。这也是我写这篇博客的原因。

LDAP(英文:Lightweight Directory Access Protocol,缩写:LDAP,/ˈɛldæp/)即轻型目录访问协议。LDAP由互联网工程任务组(IETF)的文档RFC定义,使用了描述语言ASN.1定义,前生是DAP,但是DAP过于复杂。据说LDAP的出现是源于互联网庞大的邮箱地址目录。

LDAP最大的好处就是他是一个协议,一个为多数软件用来作为登录鉴权的标准。在你为各个系统诸多用户名和密码而烦恼的时候,正是LDAP登场的时候。支持LDAP的软件都有哪些呢?
支持LDAP认证的软件产品(包括但不限于):zabbix、grafana、jenkins、nginx、apache等。

典型的系统访问如下:
LDAP轻型目录访问协议介绍及应用

LDAP既然是协议,自然要定义一堆的概念。概括的讲LDAP 是一个条目树。条目是有一或者多个 objectClass 组成,objectClass是由一或者多个属性(Attributes)组成,属性即key-value键值对组成。形成一个树形结构。其中每个属性和objectClass名称都是唯一的。说了这么多,不如一张图来的直观。

LDAP轻型目录访问协议介绍及应用

概念解释:
Schemas:一组objectClass,前人提供了很多Schemas适用于不同业务场景适用。
objectClass:属性集合。
Attributes:属性。
常见属性如下:
DN:唯一名称标识,各级DN组成当前目录的唯一ID。
CN:名称属性。
OU:组织。
LDAP中的属性都是按照描述语言ASN.1定义,以上是开放环境认可的属性(未一一列出)。引入LDAP的数据导入导出文件.ldif文件表示如下:

dn: cn=Robert Smith,ou=people,dc=example,dc=com
objectclass: inetOrgPerson
cn: Robert Smith
cn: Robert
sn: Smith
uid: rsmith
mail: robert@example.com
mail: r.smith@example.com
ou: sales

目录树如图:
LDAP轻型目录访问协议介绍及应用

以上是LDAP的概念介绍,下面讲LDAP协议的具体实现。主要有windows下的Microsoft出品Active Directory(不在介绍范围),还有一个就是linux环境下的OpenLDAP。LDAP被设计成解决读多写少的目录型数据访问权限控制,如果地址簿,组织关系等。OpenLDAP同样也提供了主从复制的高可用方案。数据也可以分布式存储在不同的LDAP节点,通过配置关联,完成跨节点的查询。
很多人喜欢拿LDAP和数据库类比,或者说LDAP是另外一种数据库。LDAP的协议规定了数据的导入导出格式即LDIF文件,但是对于数据存储却无限制。通常LDAP的数据存储会用到其他关系数据库,如OpenLDAP就可以用Berkeley DB存储数据。OpenLDAP是提供了管理目录数据的服务的软件产品,多数场景用来做统一登录认证。
OpenLDAP支持各种对目录数据访问的控制,即access规则:

access to <what> [ by <who> [<accesslevel>] [<control>] ]+

还有一种on line写法

olcAccess: to <what> [ by <who> [<accesslevel>] [<control>] ]+

olcAccess是on line configuration,能提供在线修改配置而不需要重启LDAP服务(不在本文介绍)。

示例:

access to  *
       by  self write
       by  anonymous auth
       by  * read

含义:针对整个目录树(*),目录用户本身有写的权限,匿名用户可以用来登录认证,所有人可读(如果开放匿名用户的话)。权限设置不正确会直接导致登录认证功能失败。OpenLDAP提供了非常丰富的access控制,详见:http://www.zytrax.com/books/ldap/ch6/#access

LDAP定义了几种数据的操作方法:
bind, add, modify, delete,search。一般需要先进行bind即认证操作,认证通过后进行其他如add或search操作。LDAP官网有详细的request和response定义。

LDAP有自己的查询语法定义,各种filter。

如下示例一种java语言的spring提供的LdapTemplate提供的认证方式:

ldapTemplate.authenticate(LdapQueryBuilder.query().where("cn").is(req.getUsername()), newPassword);

OpenLDAP安装参见官网:https://www.openldap.org/doc/admin24/quickstart.html

参考网站:
http://www.zytrax.com/books/ldap/
http://www.openldap.org/
https://ldap.com/

上一篇:提升性能的方向


下一篇:ASP.NET Core应用的错误处理[2]:DeveloperExceptionPageMiddleware中间件如何呈现“开发者异常页面”