LDAP不难,难的是资料太少,尤其是原理和应用方面的,以安装介绍居多。这也是我写这篇博客的原因。
LDAP(英文:Lightweight Directory Access Protocol,缩写:LDAP,/ˈɛldæp/)即轻型目录访问协议。LDAP由互联网工程任务组(IETF)的文档RFC定义,使用了描述语言ASN.1定义,前生是DAP,但是DAP过于复杂。据说LDAP的出现是源于互联网庞大的邮箱地址目录。
LDAP最大的好处就是他是一个协议,一个为多数软件用来作为登录鉴权的标准。在你为各个系统诸多用户名和密码而烦恼的时候,正是LDAP登场的时候。支持LDAP的软件都有哪些呢?
支持LDAP认证的软件产品(包括但不限于):zabbix、grafana、jenkins、nginx、apache等。
典型的系统访问如下:
LDAP既然是协议,自然要定义一堆的概念。概括的讲LDAP 是一个条目树。条目是有一或者多个 objectClass 组成,objectClass是由一或者多个属性(Attributes)组成,属性即key-value键值对组成。形成一个树形结构。其中每个属性和objectClass名称都是唯一的。说了这么多,不如一张图来的直观。
概念解释:
Schemas:一组objectClass,前人提供了很多Schemas适用于不同业务场景适用。
objectClass:属性集合。
Attributes:属性。
常见属性如下:
DN:唯一名称标识,各级DN组成当前目录的唯一ID。
CN:名称属性。
OU:组织。
LDAP中的属性都是按照描述语言ASN.1定义,以上是开放环境认可的属性(未一一列出)。引入LDAP的数据导入导出文件.ldif文件表示如下:
dn: cn=Robert Smith,ou=people,dc=example,dc=com
objectclass: inetOrgPerson
cn: Robert Smith
cn: Robert
sn: Smith
uid: rsmith
mail: robert@example.com
mail: r.smith@example.com
ou: sales
目录树如图:
以上是LDAP的概念介绍,下面讲LDAP协议的具体实现。主要有windows下的Microsoft出品Active Directory(不在介绍范围),还有一个就是linux环境下的OpenLDAP。LDAP被设计成解决读多写少的目录型数据访问权限控制,如果地址簿,组织关系等。OpenLDAP同样也提供了主从复制的高可用方案。数据也可以分布式存储在不同的LDAP节点,通过配置关联,完成跨节点的查询。
很多人喜欢拿LDAP和数据库类比,或者说LDAP是另外一种数据库。LDAP的协议规定了数据的导入导出格式即LDIF文件,但是对于数据存储却无限制。通常LDAP的数据存储会用到其他关系数据库,如OpenLDAP就可以用Berkeley DB存储数据。OpenLDAP是提供了管理目录数据的服务的软件产品,多数场景用来做统一登录认证。
OpenLDAP支持各种对目录数据访问的控制,即access规则:
access to <what> [ by <who> [<accesslevel>] [<control>] ]+
还有一种on line写法
olcAccess: to <what> [ by <who> [<accesslevel>] [<control>] ]+
olcAccess是on line configuration,能提供在线修改配置而不需要重启LDAP服务(不在本文介绍)。
示例:
access to *
by self write
by anonymous auth
by * read
含义:针对整个目录树(*),目录用户本身有写的权限,匿名用户可以用来登录认证,所有人可读(如果开放匿名用户的话)。权限设置不正确会直接导致登录认证功能失败。OpenLDAP提供了非常丰富的access控制,详见:http://www.zytrax.com/books/ldap/ch6/#access
LDAP定义了几种数据的操作方法:
bind, add, modify, delete,search。一般需要先进行bind即认证操作,认证通过后进行其他如add或search操作。LDAP官网有详细的request和response定义。
LDAP有自己的查询语法定义,各种filter。
如下示例一种java语言的spring提供的LdapTemplate提供的认证方式:
ldapTemplate.authenticate(LdapQueryBuilder.query().where("cn").is(req.getUsername()), newPassword);
OpenLDAP安装参见官网:https://www.openldap.org/doc/admin24/quickstart.html
参考网站:
http://www.zytrax.com/books/ldap/
http://www.openldap.org/
https://ldap.com/