目录结构
LDAP 目录以树状的层次结构来存储数据。
象 DNS 的 主机名,LDAP 目录记录的标识名(Distinguished Name,简称 DN)用来读取单个记录,以及回溯到树的顶部。
LDAP 目录树的最顶部就是根,也就是所谓的 " 基准DN "。
基准 DN 通常使用三种格式之一
以 X.500 格式表示的基准 DN,例如 o=xxxx, c=CN
用公司的 Internet 地址表示的基准 DN,例如 o=xxxx.com
用 DNS 域名的不同部分组成的基准 DN,例如 dc=xxxx, dc=com
如果使用活动目录(Active Directory),Microsoft 限制必须使用 DNS 域名格式。
组织数据
在根目录下,数据从逻辑上区分开。
大多数 LDAP 目录用 OU 从逻辑上把数据分开来。OU 表示
Organization Unit ,在 X.500 协议中用来表示公司内部机构:销售部、财务部等等。
现在 LDAP 还保留 ou= 这样的命名规则,但是扩展了分类的范围,可以分类为:ou=people, ou=groups, ou=devices 等等。
更低一级的 OU 有时用来做更细的归类。
单独记录
DN 是 LDAP 记录项的名字。
在 LDAP 目录中的所有记录项都有一个唯一的 Distinguished Name,也就是 DN。
每一个 LDAP 记录项的 DN 是由两个部分组成的
相对DN(RDN)
记录在 LDAP 目录中的位置。
RDN 是 DN 中与目录树的结构无关的部分。
在 LDAP 目录中存储的记录项都要有一个名字,通常存在 cn(Common Name)属性里。
在 LDAP 中存储的对象都用 cn 值作为 RDN 的基础。
为公司的员工设置一个 DN
基于登录名(uid (User ID)与 unix 的 uid 完全不同)
| uid=abc123, ou=xxxx, dc=xxxx, dc=com |
基于姓名(cn)
| cn=abc, ou=xxxx, dc=xxxx, dc=com |
这种格式有明显的缺点,名字发生改变,LDAP 的记录就要从一个 DN 转移到另一个 DN。
定制对象
LDAP 目录可以定制成存储任何文本或二进制数据。
LDAP 目录用对象类型(object classes)的概念来定义运行哪一类的对象使用什么属性。
LDAP 目录以一系列 " 属性对 " 的形式来存储记录项,每一个记录项包括属性类型和属性值(这与关系型数据库用行和列来存取数据有根本的不同)。
LDAP 目录被设计成为一个属性保存多个值的,而不是在每一个属性的后面用逗号把一系列值分开。这样的方式存储数据,数据库有很大的灵活性,不必为加入一些新的数据就重新创建表和索引。
LDAP 目录不必花费内存或硬盘空间处理 " 空 " 域,也就是说,实际上不使用可选择的域也不会花费任何资源。
记录项的格式是 LDIF,用来导入和导出 LDAP 目录的记录项。
属性的值在保存的时候是保留大小写的,但是在默认情况下搜索的时候是不区分大小写的。
某些特殊的属性(例如,password)在搜索的时候需要区分大小写。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
