金蝶EAS_V7.5_单点登录实施指南
目录可以是集中式或分布式的。如果目录是集中式的,则在一个位置有一个目录服务器(或服务器群集)提供对目录的访问。如果目录是分布式的,则有多于一个且通常分布于不同地理位置的服务器提供对目录的访问。 当目录是分布式的,则可对目录中存储的信息进行分区或复制。
当信息分区后,每个目录服务器都存储一个唯一的且非重叠的信息子集,也就是说,每个目录条目都由一台也仅由一台服务器存储。分区对目录客户端是透明的,目录客户端是通过LDAP 参照来访问各分区数据的,LDAP参照允许用户将LDAP请求指引到不同的(或相同的)服务器中存储的相同或不同名称空间。
当复制信息时,多台服务器存储同一个目录条目。
在分布式目录中,也可以混合使用这种技术,有些信息可以分区,有些信息可以复制。
目录对于存储这样的信息最为有用:也就是数据需要从不同的地点读取,但是不需要经常更新。例如,这些信息存储在目录中是十分有效的:
? ? ? ? ?
公司员工的电话号码簿和组织结构图 客户的联系信息
计算机管理需要的信息,包括NIS映射、email假名,等等 软件包的配置信息 公用证书和安全密匙
大多数人熟悉各种各样的目录,像电话簿、黄页,电视指南、购物目录和图书馆卡片目录。我们把这一类目录归为日常目录。在计算机中的目录被称为在线目录。
第41页,总53页
金蝶EAS_V7.5_单点登录实施指南
5.1.2 目录服务
目录服务是软件、硬件、策论以及管理的集合体。目录服务至少包括以下几个方面:
第42页,总53页
金蝶EAS_V7.5_单点登录实施指南
? ? ? ? ? ? ? ?
包含在目录中的信息 保存信息的软件服务端 扮演存取信息的软件客户端 运行服务端,客户端软件的硬件 支撑系统,像操作系统、设备驱动等
连接客户端到服务端以及各个服务端之间的网络基础设施 策略。规定谁能访问,谁能更新,谁能存取等 维护和监视目录服务的软件
术语目录和目录服务经常被等同、换用。
5.1.3 专有名称(DN)
目录中的每个条目都有一个专有名称(distinguished name)。 DN是在目录中唯一地标识条目的名称。
DN由“属性=值”对组成,各对之间以逗号分隔,例如: cn=wangwu,ou=eas,cn=orgs,o=kingdee,c=cn cn=lishi,ou=k3,cn=orgs,o=kingdee,c=cn
目录模式中定义的任何属性都可用于组成 DN。
组件属性值对的顺序很重要。从目录层次结构的根向下到条目驻留的级别,每个级别都有一个对应的组件包含在 DN 中。LDAP DN 以最特定的属性(通常是某种名称)开头,继之以越来越广泛的属性,通常以国家或地区属性结束。DN 的第一个组件称作相对专有名称(RDN)。它使某一条目明确地区别于有相同父代的其它条目。在上例中,RDN“cn= wangwu”使第一个条目有别于第二个条目(带有 RDN“cn=lishi)。否则,这两个示例 DN 就是等价的。组成条目 RDN 的“属性:值”对也必须存在于条目中。(DN 的其它组件则并非如此,如:后缀)
第43页,总53页
金蝶EAS_V7.5_单点登录实施指南
5.1.4 DN 转义规则
DN 可包含特殊字符。这些字符为 ,(逗号)、=(等于号)、+(加号)、<(小于号)、>(大于号)、#(数字标记)、;(分号)、\\(反斜杠)和 『』(引号)。 要在 DN 字符串的属性值中转义这些特殊字符或其它字符,请使用以下任意方法:
?
如果要转义的字符是特殊字符之一,可以在它前面加反斜杠(“\\”ASCII 92)。此示例显示了在组织名称中转义逗号的方法: CN=L. Eagle,O=Sue\\, Grabbit and Runn,C=GB 这是首选方法。
?
否则就用一个反斜杠和两个十六进制数字(它们在字符代码中构成单个字节)替换要转义的字符。字符的代码必须在 UTF-8 代码集中。 CN=L. Eagle,O=Sue\\2C Grabbit and Runn,C=GB
?
整个属性值用 \(引号)(ASCII 34)括住,引号不是值的一部分。在前后引号中间,除了 \\(反斜杠)之外,所有字符都照原样处理。在方法 2 中 \\(反斜杠)可用于转义反斜杠(ASCII 92)或引号(ASCII 34)、前面提到的任何特殊字符或十六进制对。例如,要转义 cn=xyz\中的引号,它可成为 cn=xyz\\\或转义 \\: \
另一个示例,\是非法的,因为在此上下文中无法转义“Z”。 在服务器端上,当接收到此格式的 DN 时,服务器使用转义机制 1 号和 2 号重新格式化 DN 以进行内部处理。
5.1.5 增强的 DN 处理
DN 的组合 RDN 可能包含多个由“+”运算符连接的组件。对于具有此类 DN 的条目,服务器增强了在其上执行搜索的支持。可以按任何顺序指定组合 RDN 作为搜索操作的基础。
ldapsearch cn=mike+ou=austin,o=ibm,c=us
第44页,总53页
金蝶EAS_V7.5_单点登录实施指南
服务器接受 DN 标准化扩展操作。DN 标准化扩展操作使用服务器模式来使 DN 标准化。此扩展操作对于使用 DN 的应用程序可能非常有用。有关更多信息,请参阅 IBM Tivoli Directory Server Version 5.2 C-client Programming Reference。
5.1.6 后缀(Suffix)
后缀是在本地保留的目录层次结构中标识顶部条目的 DN。也被称为命名上下文(naming context)
因为 LDAP 中使用的相对命名方案的缘故,此 DN 也是该目录层次结构中每个其它条目的后缀。一个目录服务器可以有多个后缀,每个后缀标识一个本地保留的目录层次结构,例如 o=ibm,c=us。
要添加到目录中的条目必须有与 DN 值匹配的后缀,如
“ou=Marketing,o=ibm,c=us”。如果查询包含的后缀不匹配为本地数据库配置的任何后缀,则查询会被指引到缺省参照标识的 LDAP 服务器。如果没有指定 LDAP 缺省参照,则所返回的结果指示对象不存在。
5.1.7 参照(Referrals)
参照为服务器提供将客户机指引到附加目录服务器的方法。参照指定备用 LDAP 服务器的 URL。此备用服务器处理对在当前 LDAP 服务器的子树中未找到的任何对象的请求。通过参照,您可以:
? ? ?
台服务器中分发名称空间信息
提供在一组相关服务器中数据所在位置的信息 将客户机请求路由到相应的服务器
使用参照的一些优点是有能力:
? ? ?
分布处理开销,从而提供基本的负载平衡 将数据管理分布到整个组织范围内 提供超出组织自身范围的更广泛的互连潜力
第45页,总53页