LDAP标准对象类定义

概要1.IBM Tivoli安全体系结构2.IBM安全解决方案产品列表1.IBM Directory Server：一个遵循LDAP V3标准的，可以支持上亿用户的目录服务器。

2.IBM Directory Integrator：元目录整合系统，可以支持多达几十种的用户数据源，并且提供了整合的逻辑处理机制。

3.IBM Tivoli Identity Manager：用户身份生命周期管理系统，完善的用户管理流程和对其他系统的支持能力被其被Gartnerranking为第一的产品。

4.IBM Tivoli Access Manager：完整的访问控制家族，支持从B/S结构应用到UNIX/Linux操作系统，到消息中间件，是业界最为流行的访问控制系统，高踞Gartner产品象限的右上角。

5.IBM Tivoli Risk Manager：作为受到大奖的安全事件管理系统现在日益成为企业的安全总控中心，对第三方安全产品的支持和强大的分析引擎成为制胜的两大法宝。

6.IBM Tivoli Security Compliance Manager：在成为Tivoli产品之前，已经在IBM Global Service部门工作超过十年，现在更加入了和Cisco安全系统的集成能力和Tivoli Provision Manager 的协同工作能力，能量日将强大。

7.IBM Tivoli Federated Identity Manager：Tivoli安全家族的新成员，专以解决跨企业的联邦身份管理而著称。

3.IBM的安全解决方案的特点：1.集中管理：IBM认为安全管理必须采用集中的方式，这样才能保证安全策略的一致性。

2.遵循标准：IBM一直是标准的倡导者，在安全领域管理标准还不完善的情况下，IBM一方面积极参与标准的创建工作，另一方面则使自己的产品支持最为广泛标准以满足各种规模企业的需要。

3.灵活可扩展：IBM一直认为安全管理管理在每个企业都有其特定性和特殊性，是随着每个企业的业务系统的需求来确定的。

本文由flydr贡献第9卷2期第2004 年4 月株洲师范高等专科学校学报J OU RNAL O F ZHU ZHOU T EACH ERS COLL E GEVol. 9 No . 2 Apr. 2004LDA P 的研究与在校园网统一身份认证中的应用陈,杨贯中莉①( 湖南大学软件学院,长沙410082)摘要: 简要介绍了LDAP 协议以及LDAP 的四种基本模型,阐述了统一身份认证的思想,并将LDAP 应用到校园网统一身份认证系统中.关键词:LDAP ; 统一身份认证; 目录服务中图分类号: TP312文献标识码:A文章编号:1009 - 1432 ( 2004) 02 - 0048 - 03( Software School , Hunan University , Changsha , Hunan 410082 , China) Abstract : The article briefly int roduces Lightweight Directory Access Protocol and it s four basic models and pus2network uniform identity aut hentication. expatiates on uniform identity aut hentication. It also discusses how to apply LDAP to t he system of cam2 Key words :LDAP ;uniform identity aut hentication ;directory serviceLDAP 的英文全称是Lightweight Directory Access Protocol , 即轻量级目录访问协议, 简称为LDAP.LDAP 技术发展得很快, 在企业系统范围内实现LDAP , 可使运行在几乎所有计算机平台上的任何应用程序从LDAP 目录中获取信息. LDAP 目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案. 基于LDAP 的校园网统一身份认证系统, 利用分布式的目录信息树结构,对用户身份信息和系统控制信息进行有效组织和管理,可提供高效、安全的目录访问.1LDAP 简介LDAP 是一个运行在TCP/ IP 上的目录访问协议,是基于X. 500 协议标准的, 但它比X. 500简单且可根据需要定制. 与X. 500 不同,LDAP 支持TCP/ IP 协议, 这对访问Internet 是必须的.LDAP 的核心规范在RFC 中都有定义. [ 1 ]LDAP 服务器是用来处理查询和更新LDAP目录的. 严格地说,LDAP 根本不是数据库而是用来访问存储在LDAP 目录中的信息的协议. LDAP 协议的第三个版本LDAP V3 不仅仅作为X. 500 的简化版出现, 同时提供了许多X. 500 所不具有的特性, 使LDAP 协议功能更完备, 更具有实用性. [ 2 ]2统一身份认证的思想统一身份认证的主要思想是由一个全校范围内唯一的认证服务系统接管应用各自的认证模块,各应用只需要遵循统一认证服务调用接口,即可实现用户身份的认证过程. 至于用户身份信息、密码的存储及在网络上传输的安全性, 由身份认证服务提供的安全认证协议来保证. LDAP 通过SSL/ TL S 认证机制来保护数据的完整性和私密3. 4 安全模型LDAP 的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同. [ 3 ] 一般有下述三种: ( 1) 无认证. 这种方法只在没有数据安全问题且不涉及访问控制权限的时候才能使用. ( 2 ) 基本认证. 当使用LDAP 的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名( DN ) 和口令来标识自己. 服务进程检查客户进程发送的分辨名( DN ) 和密码是否与目录中存储的分辨名( DN ) 和密码相匹配,如果匹配则认为通过了认证; (3) SASL 认证. 即LDAP 提供的在SSL 和TL S 安全通道基础上进行的身份认证, 包括数字证书的认证.性. 校园网中所有的用户数据在LDAP 服务器中被统一管理,所有的应用程序通过网络访问同一个用户数据库, 数据的管理和安全保证放在LDAP 服务器上进行统一的维护.3LDAP 四种基本模型LDAP 的体系结构由四种基本模型组成: 信息模型描述LDAP 的信息表示方式, 命名模型描述LDAP 的数据如何组织, 功能模型描述LDAP 的数据操作访问方式, 安全模型描述LDAP 的安全机制.3. 1 信息模型LDAP 信息模型定义能够在目录中存储的数4LDAP 在校园网统一身份认证中的应用为实现校园网用户身份的统一认证, 本系统开发选择OPENLDAP 软件, 它是一个开放源码的免费软件,其中包括一个跨平台的轻量级目录访问服务器SLAPD ( 8 ) , 它支持LDAP V3 协议, 还包括主从备份服务器和数据库管理工具等.据类型和基本的信息单位. 在LDAP 中信息以树状方式组织,基本数据单元是条目( ent ry) ———即关于对象的信息集合,而每个条目由属性构成,属性中存储属性值. 通常, 条目中的信息说明真实世界的对象,比如一个人、、部门服务器、打印机等等,它们与组织中的真实对象相符合.4. 1 LDAP 自定义模式模式( Schema ) 是一个按相似性原则进行分组的对象类的集合. 模式中定义了属性类型和对象类. 每个在统一身份认证信息库中有合法身份的人, 对应着LDAP 目录信息树中的一个节点. 节点的属性包括这个人的身份信息以及一些控制信息. 目录设计的目标就是决定如何将这些节点组织成一个结构合理的目录信息树.Person 的LDAP 对象类以及一组该对象类可用的RFC2758 文档中定义了一个名为InetOrg2493. 2 命名模型LDAP 中的命名模型, 即LDAP 中的条目定位方式. 在LDAP 中每个条目均有自己的DN (Distinguished Name , 标识名) 和RDN ( RelativeDistinguished Name ,相对标识名) . DN 是该条目在整个树中的唯一名称标识,RDN 是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是DN ,文件名就是RDN.3. 3 功能模型我们需要对目录树中的信息进行访问,LDAP 功能模型说明了能够使用LDAP 协议对目属性. 这些属性都是目录服务中经常要用到的信InetOrgPerson 对象类中已有的属性所能表示的录执行某些操作. 在LDAP 中共有四类操作( 共10 种) : ( 1) 查询类操作,如搜索、比较;( 2) 更新类操作,如添加条目、删除条目、修改息. 针对校园网统一身份认证系统的实际应用, 信息很难直接用标准模式中定义的属性来表示.因此系统中需引入自定义模式, 因为它能够恰当地描述系统的需求,并具有很好的可扩展性. 自定义模式的方法是在配置文件slapd. conf 的全局定入新的模式文件newschema. schema. 义部分加入:include ～/ newschema. schema , 即引条目、修改条目名; ( 3) 认证类操作,如绑定、解绑定;( 4) 其它操作,如放弃和扩展操作.除扩展操作,另外9 种是LDAP 标准操作.4. 2 系统结构设计统一身份认证系统的设计和实现需要涉及身份认证、访问控制、加密、通信以及数据库等多项[2 ] 技术. 具体分析了校园网应用的情况后, 笔者认为下面的结构可以建立校园网的统一身份认证系统见图1.个到若干个LDAP 从目录服务器, 以本地化地响应各种应用对LDAP 的操作, 从目录服务器的数据由主目录服务器自动复制而来. 使用统一身份认证服务, 把通常由多个管理员在许多应用之间进行的管理工作整合到一个管理控制台之中, 形成了一个集成化高、灵活性强、又较为安全的环境. 统一身份认证服务使各种应用能够使用所有受支持的身份认证方法; 提供单点进行所有身份认证尝试, 单点登录方法允许用户仅需登录一次即可访问其经过授权的多种应用,并可检测到并阻止暴力攻击,从而可以提高整体安全性和用户的工作效率.5结语目前,LDAP 已应用在北京大学、大连理工大图1基于LDAP 的统一身份认证系统校园的软件和应用系统是基于Web , 需灵活的体系结构,校园网络应用系统采用三层体系结构. 物理结构采用分布式实施模式,但逻辑上采用统一用户管理. [ 4 ] 网络应用系统整体分为三个层次,分别为: ( 1) 表现层: 门户服务将为校园网系统建立会员制,使能基于角色进行访问控制; ( 2 ) 应用层: 是关键性业务应用服务器, 它是校园网关键性应用逻辑的“容器”; (3) 数据层: 包括数据库服务器、LDAP 目录服务器、份识别服务器、子证书服务器. 身电LDAP 目录服务器和身份识别服务器将提供统一学、清华大学以及上海交大等高校的校园网络用户管理系统中,将LDAP 目录服务的特点引入到校园网统一身份认证中, 便于用户登录校园网络系统,及管理员维护系统. 随着校园网的各种应用不断涌现和进一步发展, 基于LDAP 的校园网统一身份认证系统会有很好的发展前景, 是未来实现数字化校园的基础.参考文献:[ 1 ] M. Wahl , T. Howes ,S. Kille. Lightweight Directory Ac2 cess Protocol ( V3 ) [ S ] . IETF RFC 2251. Network Working Group . 1997. [ 2 ] Michael Donnelly. An Introduction to LDAP[ EB/ OL ] . - 04 - 28. [ 3 ] 宋志强,陈怀楚,沈锡臣. 校园网统一身份认证结构及用户管理. 电子证书管理是基于LDAP 目录服务器和X. 509 标准颁发、管理和恢复用户的电子证书. 在统一身份认证方面, 采用基于LDAP 的目录管理是目前Internet 应用身份认证事实上的标准. 本系统中,在数据层配置LDAP 服务器作为主目录服务器,用于用户数据的统一管理和更新. 为进一步提高系统的效率,在应用层的主机上,配置一基于此结构的应用漫游的实现[J ] , 计算机工程与应用,2002.[4 ] 张慧宇,等. LDAP 研究及其在CA 中的应用, 计算机应用研究[J ] ,2002 , ( 10) .50http :/ / dapman. org/ rticles/ intro2to2ldap . ht ’ ml. 2000( 责任编辑: 易华容英文编校: 文爱军)。

LDAP（Lightweight Directory Access Protocol）是一种用于访问和维护分布式目录服务的协议。

在LDAP中，posixGroup是一种对象类（object class），用于表示包含一组用户的群组。

posixGroup可以用于管理用户和组的身份和权限。

要使用posixGroup，首先需要在LDAP目录中定义一个posixGroup对象。

下面是一个典型的posixGroup对象的LDIF（LDAP Data Interchange Format）示例：```dn: cn=mygroup,ou=groups,dc=example,dc=comobjectClass: topobjectClass: posixGroupcn: mygroupgidNumber: 10000memberUid: user1memberUid: user2```在这个示例中，我们创建了一个名为mygroup的posixGroup对象。

它具有以下属性：- `cn`：群组的通用名称（Common Name）- `objectClass`：对象类，必须包含posixGroup- `gidNumber`：群组的GID（Group ID）- `memberUid`：属于该群组的用户的用户名要使用posixGroup对象，可以执行以下操作：1. 创建posixGroup对象：使用适当的LDAP客户端工具（如ldapadd）将上述示例LDIF导入到LDAP目录中，以创建posixGroup对象。

2. 添加用户到posixGroup：修改posixGroup对象的`memberUid`属性，将用户添加为群组成员。

3. 查询posixGroup对象：使用适当的LDAP查询工具（如ldapsearch），根据需要检索posixGroup对象的属性和成员信息。

4. 删除posixGroup对象：使用适当的LDAP客户端工具，删除posixGroup对象及其相关属性。

ldap常用字段LDAP（轻量级目录访问协议）是一种用于查询、浏览和搜索目录数据库的协议。

在LDAP中，有一些常用的字段，如下：1. 对象类（Object Class）：用于定义目录条目的类型，例如：person、group、organization等。

2. 属性（Attribute）：用于描述对象类的属性，如姓名、性别、年龄、电话号码等。

3. 属性值（Attribute Value）：对应于每个属性的具体值，例如：张三、男、25、138****5678等。

4. Distinguished Name（DN）：用于唯一标识一个目录条目的字符串，包括条目的命名空间和相对Distinguished Name。

5. 相对Distinguished Name（RDN）：是Distinguished Name 中的相对部分，用于区分同一对象类中的不同条目。

6. 用户名（Username）：用于标识LDAP客户端与服务器之间的用户身份验证。

7. 密码（Password）：用于进行用户身份验证时提供加密后的密码。

8. 邮箱（Email）：用于存储用户的电子邮件地址。

9. 电话号码（Phone Number）：用于存储用户的联系电话。

10. 组织单位（Organization Unit）：用于表示目录树中的一个分支，用于组织和管理相关条目。

11. 位置（Location）：用于存储用户的物理地址。

12. 用户类型（User Type）：用于表示用户在组织内的角色，如普通用户、管理员等。

13. 创建时间（Create Time）：用于记录目录条目的创建时间。

14. 修改时间（Modify Time）：用于记录目录条目最后一次修改的时间。

这些字段在LDAP目录服务中具有重要作用，有助于组织和存储用户、设备和其它相关数据。

在实际应用中，可以根据实际需求添加或修改字段。

ldap 协议LDAP（Lightweight Directory Access Protocol）是一种用于访问和维护分布式目录信息服务的应用级协议。

它通常用于在网络中的目录服务中进行身份验证和授权。

LDAP协议基于X.500标准，但是比X.500更简单，因此被称为轻量级。

LDAP协议的基本概念是将目录作为一个树形结构的数据库，其中包含了各种对象的信息。

LDAP服务器使用这个树形结构来存储和组织数据，而LDAP客户端则可以使用LDAP协议来查询、添加、修改和删除这些数据。

LDAP协议的核心是基于客户端-服务器模型的通信。

客户端向服务器发送LDAP请求，服务器则返回相应的LDAP响应。

LDAP协议使用TCP和UDP作为传输协议，通常使用389端口进行通信。

在LDAP中，数据以条目（entry）的形式存储。

每个条目都有一个唯一的标识符（DN），用来在整个目录树中唯一标识这个条目。

条目包含了一个或多个属性-值对，用来描述这个条目所代表的对象的属性信息。

例如，一个用户条目可以包含属性如姓名、电子邮件地址、电话号码等。

LDAP协议定义了一系列的操作，用来对目录中的数据进行增删改查。

常见的操作包括，绑定（bind）、搜索（search）、添加（add）、删除（delete）、修改（modify）等。

通过这些操作，LDAP客户端可以与LDAP服务器进行交互，从而实现对目录数据的管理和访问。

除了基本的操作外，LDAP协议还提供了一些扩展功能，如安全认证、访问控制、数据复制等。

这些功能使得LDAP协议成为了企业网络中常用的身份认证和授权解决方案。

总的来说，LDAP协议是一种灵活、高效的目录访问协议，它为网络中的目录服务提供了统一的访问接口，为用户和应用程序提供了方便的身份认证和授权机制。

在企业网络中，LDAP协议被广泛应用于各种系统和应用中，如邮件服务、文件共享、VPN接入等。

通过LDAP协议，用户可以方便地访问和管理企业网络中的各种资源，从而提高了网络管理的效率和安全性。

一、Ldap简介轻型目录访问协议，即Lightweight Directory Access Protocol (LDAP)是一个访问在线目录服务的协议。

目录是一组具有类似属性、以一定逻辑和层次组合的信息。

常见的例子是电话簿，由以字母顺序排列的名字、地址和电话号码组成。

最新版本的LDAP协议由RFC 4511所定义。

概述鉴于原先的目录访问协议（Directory Access Protocol即DAP）对于简单的互联网客户端使用太复杂，IETF设计并指定LDAP做为使用X.500目录的更好的途径。

LDAP在TCP/IP之上定义了一个相对简单的升级和搜索目录的协议。

常用词"LDAP目录"可能会被误解，而实际并没有"LDAP目录"这么一个目录种类。

通常可以用它来描述任何使用LDAP协议访问并能用X.500标识符标识目录中对象的目录。

与ISODE提供的X.500协议的网关相比，尽管OpenLDAP及其来自密歇根大学的前身等的目录基本上设计成专门为LDAP访问而优化的，但也没有比其他用LDAP协议访问的目录额外多出来所谓“LDAP目录”。

协议的第三版由Netscape的Tim Howes，ISODE的Steve Kille和Critical Angle Inc的Mark Wahl撰写。

二、Ldap内容LDAP目录的条目（entry）由属性（attribute）的一个聚集组成，并由一个唯一性的名字引用，即专有名称（distinguished name，DN）。

例如，DN能取这样的值：“ou=groups,ou=people,dc=wikipedia,dc=org”。

LDAP目录与普通数据库的主要不同之处在于数据的组织方式，它是一种有层次的、树形结构。

所有条目的属性的定义是对象类object class的组成部分，并组成在一起构成schema；那些在组织内代表个人的schema被命名为white pages schema。

科技部科技基础性工作专项资金重大项目研究成果项目名称：我国数字图书馆标准规范建设子项目名称：数字资源检索与应用标准规范研究项目编号：2002DEA20018研究成果类型：研究报告成果名称：LDAP协议应用指南成果编号：CDLS-S07-002成果版本：总项目组推荐稿成果提交日期：2003年2月撰写人：张智雄（中国科学院文献情报中心）项目版权声明本报告研究工作属于科技部科技基础性工作专项资金重大项目《我国数字图书馆标准规范建设》的一部分，得到科技部科技基础性工作专项资金资助，项目编号为2002DEA20018。

按照有关规定，国家和《我国数字图书馆标准规范建设》课题组拥有本报告的版权，依照《中华人民共和国著作权法》享有著作权。

本报告可以复制、转载、或在电子信息系统上做镜像，但在复制、转载或镜像时须注明真实作者和完整出处，并在明显地方标明“科技部科技基础性工作专项资金重大项目《我国数字图书馆标准规范建设》资助”的字样。

报告版权人不承担用户在使用本作品内容时可能造成的任何实际或预计的损失。

作者声明本报告作者谨保证本作品中出现的文字、图片、声音、剪辑和文后参考文献等内容的真实性和可靠性，愿按照《中华人民共和国著作权法》，承担本作品发布过程中的责任和义务。

科技部有关管理机构对于本作品内容所引发的版权、署名权的异议、纠纷不承担任何责任。

《我国数字图书馆标准规范建设》课题组网站（）作为本报告的第一发表单位，并可向其他媒体推荐此作品。

在不发生重复授权的前提下，报告撰写人保留将经过修改的项目成果向正式学术媒体直接投稿的权利。

LDAP协议应用指南目 录1. 协议概述 (1)2. LDAP的特点和应用领域 (1)3. LDAP目录的优势 (2)1.协议概述LDAP（Lightweight Directory Access Protocol，轻量级目录存取协议）是目前广泛应用的目录协议。

在计算机中，目录被认为是一种特殊的数据库，也有人将其称为数据仓库(Data Repository)，它被用于存储一定类型的经过整序的信息。

Dell Chassis Management Controller Firmware 版本 3.1 用户指南注和小心本出版物中的信息如有更改，恕不另行通知。

© 2010 Dell Inc. 版权所有，翻印必究。

未经 Dell Inc. 书面许可，严禁以任何形式复制这些材料。

本文中使用的商标：Dell ™、DELL 徽标、FlexAddress ™、OpenManage ™、PowerEdge ™ 和 PowerConnect ™ 是 Dell Inc. 的商标。

Microsoft ®、Active Directory ®、Internet Explorer ®、Windows ®、Windows Server ® 和 Windows Vista ® 是 Microsoft Corporation 在美国和其他国家/地区的商标或注册商标。

Red Hat ® 和 Red HatEnterprise Linux ® 是 Red Hat, Inc. 在美国和其它国家/地区的注册商标。

Novell ® 和 SUSE ™ 分别是 Novell Inc. 在美国和其它国家/地区的注册商标和商标。

Intel ® 是 Intel Corporation 的注册商标。

UNIX ® 是 The Open Group 在美国和其它国家/地区的注册商标。

Avocent ® 是 Avocent Corporation 的商标。

OSCAR ® 是 Avocent Corporation 或其子公司的注册商标。

版权 1998-2006 The OpenLDAP Foundation 。

All rights reserved （版权所有，翻印必究）。

无论修改与否，以源代码和二进制的形式重新分发或使用都必须经过 OpenLDAP Public License 的授权许可。