LDAP (輕型目錄訪問協(xié)議)
次瀏覽 | 2022.08.24 17:08:39 更新
來源 :互聯(lián)網(wǎng)
精選百科
本文由作者推薦
LDAP輕型目錄訪問協(xié)議
LDAP是輕量目錄訪問協(xié)議,英文全稱是LightweightDirectoryAccessProtocol�,一般都簡(jiǎn)稱為L(zhǎng)DAP���。
它是基于X.500標(biāo)準(zhǔn)的���,但是簡(jiǎn)單多了并且可以根據(jù)需要定制�����。與X.500不同,LDAP支持TCP/IP,這對(duì)訪問Internet是必須的��。
LDAP的核心規(guī)范在RFC中都有定義��,所有與LDAP相關(guān)的RFC都可以在LDAPmanRFC網(wǎng)頁中找到。
現(xiàn)在LDAP技術(shù)不僅發(fā)展得很快而且也是激動(dòng)人心的����。在企業(yè)范圍內(nèi)實(shí)現(xiàn)LDAP可以讓運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上的所有的應(yīng)用程序從LDAP目錄中獲取信息�。
LDAP目錄中可以存儲(chǔ)各種類型的數(shù)據(jù):電子郵件地址�����、郵件路由信息���、人力資源數(shù)據(jù)��、公用密匙、聯(lián)系人列表���,等等。
通過把LDAP目錄作為系統(tǒng)集成中的一個(gè)重要環(huán)節(jié)�����,可以簡(jiǎn)化員工在企業(yè)內(nèi)部查詢信息的步驟��,甚至連主要的數(shù)據(jù)源都可以放在任何地方�。
中文名
輕型目錄訪問協(xié)議
外文名
Lightweight Directory Access Protocol
所屬領(lǐng)域
網(wǎng)絡(luò)工程
概念
LDAP(Light Directory Access Portocol)�,它是基于X.500標(biāo)準(zhǔn)的輕量級(jí)目錄訪問協(xié)議。
目錄是一個(gè)為查詢�、瀏覽和搜索而優(yōu)化的數(shù)據(jù)庫�,它成樹狀結(jié)構(gòu)組織數(shù)據(jù)�����,類似文件目錄一樣����。
目錄數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫不同�����,它有優(yōu)異的讀性能,但寫性能差,并且沒有事務(wù)處理��、回滾等復(fù)雜功能�,不適于存儲(chǔ)修改頻繁的數(shù)據(jù)。所以目錄天生是用來查詢的,就好象它的名字一樣。LDAP目錄服務(wù)是由目錄數(shù)據(jù)庫和一套訪問協(xié)議組成的系統(tǒng)�。
主要特點(diǎn)跨平臺(tái)
可以在任何計(jì)算機(jī)平臺(tái)上�,用很容易獲得的而且數(shù)目不斷增加的LDAP的客戶端程序訪問LDAP目錄�。而且也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。
LDAP協(xié)議是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議���。實(shí)際上,LDAP得到了業(yè)界的廣泛認(rèn)可�,因?yàn)樗荌nternet的標(biāo)準(zhǔn)�。
LDAP服務(wù)器可以是任何一個(gè)開發(fā)源代碼或商用的LDAP目錄服務(wù)器(或者還可能是具有LDAP界面的關(guān)系型數(shù)據(jù)庫)��,因?yàn)榭梢杂猛瑯拥膮f(xié)議�、客戶端連接軟件包和查詢命令與LDAP服務(wù)器進(jìn)行交互�����。
與LDAP不同的是�,如果軟件產(chǎn)商想在軟件產(chǎn)品中集成對(duì)DBMS的支持�,那么通常都要對(duì)每一個(gè)數(shù)據(jù)庫服務(wù)器單獨(dú)定制。
費(fèi)用低、維護(hù)簡(jiǎn)單
不象很多商用的關(guān)系型數(shù)據(jù)庫�����,用戶不必為L(zhǎng)DAP的每一個(gè)客戶端連接或許可協(xié)議付費(fèi)。大多數(shù)的LDAP服務(wù)器安裝起來很簡(jiǎn)單��,也容易維護(hù)和優(yōu)化����。
復(fù)制技術(shù)
LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)。
例如:可以把數(shù)據(jù)“推”到遠(yuǎn)程的辦公室��,以增加數(shù)據(jù)的安全性�����。復(fù)制技術(shù)是內(nèi)置在LDAP服務(wù)器中的而且很容易配置。如果要在DBMS中使用相同的復(fù)制功能,數(shù)據(jù)庫產(chǎn)商就會(huì)要求支付額外的費(fèi)用��,而且也很難管理����。
允許使用ACL
LDAP允許根據(jù)需要使用ACL(訪問控制列表)控制對(duì)數(shù)據(jù)讀和寫的權(quán)限。
例如���,設(shè)備管理員可以有權(quán)改變員工的工作地點(diǎn)和辦公室號(hào)碼,但是不允許改變記錄中其它的域。ACL可以根據(jù)誰訪問數(shù)據(jù)����、訪問什么數(shù)據(jù)���、數(shù)據(jù)存在什么地方以及其它對(duì)數(shù)據(jù)進(jìn)行訪問控制�。
因?yàn)檫@些都是由LDAP目錄服務(wù)器完成的�����,所以不用擔(dān)心在客戶端的應(yīng)用程序上是否要進(jìn)行安全檢查����。
存儲(chǔ)數(shù)據(jù)
LDAP對(duì)于數(shù)據(jù)需要從不同的地點(diǎn)讀取�,但是不需要經(jīng)常更新,這些信息存儲(chǔ)在LDAP目錄中是十分有效的,例如:
公司員工的電話號(hào)碼簿和組織結(jié)構(gòu)圖
客戶的聯(lián)系信息
計(jì)算機(jī)管理需要的信息�����,包括NIS映射/��、email/名稱等
軟件包的配置信息
公用證書和安全密匙
與X.500的比較
1.AP(Access Protocol)既是一個(gè)X.500的訪問協(xié)議,又是一個(gè)靈活的可以獨(dú)立實(shí)現(xiàn)的目錄系統(tǒng)�����。
2.DAP(Directory Access Protocol)基于Internet協(xié)議��,X.500基于OSI(開放式系統(tǒng)互聯(lián))協(xié)議:建立在應(yīng)用層上的X.500 目錄訪問協(xié)議DAP��,需要在OSI會(huì)話層和表示層上進(jìn)行許多的建立連接和包處理的任務(wù),需要特殊的網(wǎng)絡(luò)軟件實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問���;
LDAP則直接運(yùn)行在更簡(jiǎn)單和更通用的TCP/IP或其它可靠的傳輸協(xié)議層上,避免了在OSI會(huì)話和表示層的開銷����,使連接的建立和包的處理更簡(jiǎn)單�、更快�,對(duì)于互聯(lián)網(wǎng)和企業(yè)網(wǎng)應(yīng)用更理想。
3.LDAP協(xié)議更為簡(jiǎn)單:LDAP繼承了X.500最好的特性�����,同時(shí)去掉了它的復(fù)雜性�。LDAP通過使用查找操作實(shí)現(xiàn)列表操作和讀操作,另一方面省去了X.500中深?yuàn)W的和很少使用的服務(wù)控制和安全特性�����,只保留常用的特性��,簡(jiǎn)化了LDAP的實(shí)現(xiàn)�。
4.LDAP通過引用機(jī)制實(shí)現(xiàn)分布式訪問:X.500 DSA通過服務(wù)器之間的鏈操作實(shí)現(xiàn)分布式的訪問��,這樣查詢的壓力集中于服務(wù)器端��;而LDAP通過客戶端API實(shí)現(xiàn)分布式操作(對(duì)于應(yīng)用透明)平衡了負(fù)載���;
5.LDAP實(shí)現(xiàn)具有低費(fèi)用、易配置和易管理的特點(diǎn)�。經(jīng)過性能測(cè)試��,LDAP比X.500具有更少的響應(yīng)時(shí)間;LDAP提供了滿足應(yīng)用程序?qū)δ夸浄?wù)所需求的特性�。
參考資料
