LDAP (облегченный протокол доступа к каталогам) — это упрощенная версия облегченного протокола доступа к каталогам, основанная на стандарте X.500. Это протокол, используемый для доступа к базам данных каталогов. Служба каталогов LDAP — это система, состоящая из базы данных каталогов и набора протоколов доступа. С точки зрения непрофессионала, протокол LDAP можно понимать как реляционную базу данных, в которой хранится различная информация о конфигурации хостов в домене. управлять объектом, это можно реализовать посредством иерархического поиска LDAP, как показано на рисунке 1-1.
Протокол LDAP — это протокол, созданный для обеспечения доступа к информации службы каталогов.,Соглашение заключено<LDAP> 、<Domain>、<DN>Состоит из трех частей,Клиент обычно инициирует сеанс для подключения к запрашивающему серверу через протокол LDAP.,При запросе клиент может отправить следующий запрос, не дожидаясь ответа сервера.,Сервер будет отвечать клиенту последовательно через последовательность запросов.,Ниже приводится формат и компоненты протокола LDAP.
LDAP://DomainIP/DN
1)<LDAP> : протокол LDAP.
2)<Domain>:Контроллер домена, к которому вы хотите подключитьсяIPили доменное имя。
3)<DN>:идентификационное имя,Полный путь к объекту идентификатора пользователя в действии.
Служба каталогов LDAP — это система, состоящая из базы данных каталогов и набора протоколов доступа. Microsoft Active Directory фактически является реализацией базы данных службы каталогов Microsoft, которая хранит всю информацию о конфигурации (пользователях, компьютерах и т. д.) во всем домене. в то время как LDAP Это протокол доступа ко всей базе данных каталогов, как показано на рисунке 1-2, который представляет собой организационную схему структуры каталогов в LDAP.
1) Дерево каталогов: весь набор информации о каталогах может быть представлен в виде дерева каталогов, и каждый узел в дереве является записью.
2) Запись. Запись представляет собой набор пар атрибут-значение с отличительным именем DN. Каждая запись представляет собой запись. Как показано на рисунке выше, каждый круг представляет собой запись.
3) DN: отличительное имя записи называется «DN». «DN» эквивалентно «первичному ключу» в таблице реляционной базы данных и обычно используется для поиска.
4) Атрибуты: обычно используются для описания конкретной информации записи, например, uid=UserA,ou=sales,dc=example,dc=com, тогда имя атрибута указывается как Пользователь A, а возраст атрибута — 32.
Обычно Active Directory использует путь именования LDAP для указания местоположения объекта, к которому осуществляется доступ в Active Directory, чтобы клиент мог быстро найти объект при доступе через протокол LDAP. Рисунок 1-3 представляет собой диаграмму пути имени LDAP. .
Отличительные имена (DN). Это полный путь к объекту в Active Directory. DN имеет три атрибута: CN (общее общее имя), OU (организационная единица) и DC (компонент доменного имени). Атрибуты DN. Интерпретация каждого атрибута показана в Таблице 1-1.
Таблица 1- 1. Три атрибута идентификационного имени DN
имя атрибута | Полное английское имя | значение |
---|---|---|
DC | Domain Component | Компонент доменного имени DNS. Формат состоит в разделении полного доменного имени на несколько частей, например: testfirest.com делится на dc=test firest, dc=com. |
OU | Organizational Unit | Организационная единица (может включать в себя другие организационные подразделения) |
CN | Common Name | Общедоступное общее имя, обычно имя пользователя или имя сервера. |
Как показано на рисунке 1-4, это идентификационное имя DN. CN=yunwei01,OU=Группа эксплуатации и обслуживания безопасности,OU=Отдел управления эксплуатацией и техническим обслуживанием,DC=testfirest,DC=com
Полный путь — это пользователь yunwei01 в группе безопасности и обслуживания отдела управления эксплуатацией и обслуживанием в домене testfirest.com, как показано на рис. 1-5.
Давайте введем еще несколько общих терминов.