Issuu on Google+

Linux lab

LDAP

指導老師:彭學勤,楊宏文 姓名:朱彥宇 學號:C1000353


LDAP Lightweight Directory Access Protocol (LDAP)是一個訪問在線 目錄服務的協議 鑒於原先的目錄訪問協議(Directory Access Protocol 即 DAP) 對於簡單的網際網路客戶端使用太複雜,IETF 設計並指定 LDAP 做 為使用 X.500 目錄的更好的途徑。LDAP 在 TCP/IP 之上定義了一 個相對簡單的升級和搜索目錄的協議。 常用詞"LDAP 目錄"可能會被誤解,而實際並沒有"LDAP 目錄"這麼 一個目錄種類。通常可以用它來描述任何使用 LDAP 協議訪問並能 用 X.500 標識符標識目錄中對象的目錄。與 ISODE 提供的 X.500 協議的網關相比,儘管 OpenLDAP 及其來自密西根大學的前身等的 目錄基本上設計成專門為 LDAP 訪問而優化的, 但也沒有比其他用 LDAP 協議訪問的目錄額外多出來所謂「LDAP 目錄」 。 協議的第三版由 Netscape 的 Tim Howes,ISODE 的 Steve Kille 和 Critical Angle Inc 的 Mark Wahl 撰寫。


協議內容 LDAP 目錄的條目(entry)由屬性(attribute)的一個聚集組成, 並由一個唯一性的名字引用,即專有名稱(distinguished name, DN)。 例如,DN 能取這樣的值: 「ou=groups,ou=people,dc=wikipedia,dc=org」。 dc=org | dc=wikipedia / ou=people

\ ou=groups

LDAP 目錄與普通資料庫的主要不同之處在於數據的組織方式,它是 一種有層次的、樹形結構。所有條目的屬性的定義是對象類 object class 的組成部分,並組成在一起構成 schema;那些在組織內代表 個人的 schema 被命名為 white pages schema。資料庫內的每個條 目都與若干對象類聯繫,而這些對象類決定了一個屬性是否為可選和 它保存哪些類型的信息。屬性的名字一般是一個易於記憶的字元串, 例如用 cn 為通用名(common name)命名,而"mail"代表 e-mail


地址。屬性取值依賴於其類型,並且 LDAPv3 中一般非二進制值都 遵從 UTF-8 字元串語法。例如,mail 屬性包含值 「user@example.com」 ;jpegPhotos 屬性一般包含 JPEG/JFIF 格 式的圖片。 LDAP 目錄條目可描述一個層次機構,這個結構可以反映一個政治、 地理或者組織的範疇。在原始的 X.500 模型中,反應國家的條目位 於樹的頂端;接著是州或者民族組織。典型的 LDAP 配置使用 DNS 名稱作為樹形結構的頂端,下列是代表人、文檔、組織單元、印表機 和其他任何事務的條目。 LDAP 影響了後續的 Internet 協議,包括新版本的 X.500、 Directory Services Markup Language (DSML)、Service Provisioning Markup Language (SPML) 和 Service Location Protocol.


Single Sign-On(SSO) 「單一登入 (SSO)」可讓公司的網路使用者或者是一般外界之使用 者在開始存取網路時,在單一驗證的基礎上天衣無縫地存取所有已授 權的網路資源。SSO 可以提高網路使用者的生產力,降低網絡作業 的花費,提高網路安全。

SSO 單一登入

單一登入(SSO)的財產,是訪問控制的多個相關,但獨立的軟件系 統。有了這個屬性用戶登錄一次,獲得訪問所有系統不會被提示重新 登錄在他們每個人。一次性註銷是反向的財產,即一個動作簽署了終 止訪問多個軟件系統。 由於不同的應用程序和資源支持不同的認證機制,單點登錄,已為國 內翻譯和儲存不同的憑據相比,現在用於初步驗證。


優點 單點登錄的好處就包括: *密碼疲勞,減少不同的用戶名和密碼組合[1] *減少花費的時間重新輸入密碼相同的身份[2] *可以支持傳統的身份驗證,如 Windows 憑據(即,用戶名/密碼) *降低 IT 成本,由於人數較少的 IT 幫助台呼叫有關密碼[2] *各層次的安全入境/出境/訪問系統的不便的情況下再次提示用戶 *集中報告堅持遵守。

SSO 的使用集中式身份驗證的服務器上,所有其他應用程序和系統 利用認證的目的,並結合這個技術,以確保用戶不積極必須輸入憑據 不止一次。

批評 術語企業減少登入是首選的一些作者誰相信單一登錄是不可能的,在 實際使用情況。 由於單點登錄可以訪問很多的資源,一旦用戶最初認證(“鑰匙城 堡”),這也增加了負面影響案件的憑證提供給其他人,誤用。因此,


單點登錄,需要更加重視保護用戶的憑據,最好能結合強大的驗證方 法,比如智能卡[3]和一次性密碼令牌。 單點登錄也使認證系統非常關鍵,他們的失敗或無法達到這些目標 (如網絡故障)可能會導致拒絕訪問所有系統統一下的 SSO。這可 以使單點登錄系統不可取的訪問,必須保證在任何時候,如安全或植 物層系統。


ldap