LDAP是什么?
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X500标准的,但是简单得多并且可以根据需要定制。
LDAP由互联网工程任务组(IETF)的文档RFC定义,使用了描述语言ASN1定义。最新的版本是版本3,由RFC 4511所定义。例如,一个用语言描述的LDAP的搜索如:“在公司邮件目录中搜索公司位于那什维尔名字中含有“Jessy”的有邮件地址的所有人。请返回他们的全名,电子邮件,头衔和简述。”
扩展资料:
LDAP-开发方式
如果需要开发一种提供公共信息查询的系统一般的设计方法可能是采用基于WEB的数据库设计方式,即前端使用浏览器而后端使用WEB服务器加上关系数据库。后端在Windows的典型实现可能是Windows NT + IIS + Acess数据库或者是SQL SERVER,IIS和数据库之间通过ASP技术使用ODBC进行连接,达到通过填写表单查询数据的功能;
-LDAP
-目录访问协议
(以下内容全部由外部资源总结)
验证方式
一、Basic:
http10的认证方法,需要提供用户名密码认证,并用base64进行编码,认证后才可访问,浏览器弹出登录窗口输入用户名后用base64进行编码,浏览器会在http报文头部加入base64编码内容,服务器解析出来并认证通过才可继续访问,
二、Digest:
主要是为了解决Basic模式的安全问题,用来替代Basic模式采用了response认证模式,依旧弹出对话框输入用户名密码,会对:用户名、密码、http请求方法、被请求资源的url 进行组合后发送给服务器,服务器获取到http报文相关信息后,从中获取到用户名跟密码,同样对用户名、密码、http请求方法、被请求资源的url等组合进行md5运算,计算的结果进行比较,结果相同就认证通过
其实通过hash算法,对通信双方身份的认证非常常见,不必把包含密码的信息对外传输,只需要把这些密码信息,加入一个对方给定的随机值,然后计算出hash值传输给对方就可以认证身份,这种模式避免了密码在网络上明文传输,
缺点:报文还是会被攻击者拦截到然后获取相关资源
三、X509:
是一种非常通用的证书格式,所有的X509证书都包含:版本号、证书持有人的公钥、证书的序列号 。证书的序列号是由每一个证书分配的唯一编号数字型编号,证书取消后实际上放入由ca签发的黑名单列表中,这也是序列号唯一的原因,X509还包含主题信息、证书的有效期、认证的签名、签名的算法等等,目前被广泛应用
四、LDAP:
是轻量级的目录访问协议,为了解决需要初始化很多密码,大量密码的管理,还有公司增加内部服务的时候,管理员需要为大量员工初始化新的账户信息,为所有软件提供统一的认证机制,改变原有的认证策略,使需要认证的策略都通过LDAP去认证,或者所有信息都存储在LDAP server中,终端用户使用公司内部服务的时候,都需要LDAP服务器的认证,每个员工只需要进入管理员提供的web节目,修改自己在LDAP server中的信息即可,常适用于大公司
五、Form 表单验证,不多做解释
需要。
使用非加密的ldap时,只能对AD域账号信息查询。如果要对AD域用户信息进行修改和新增操作,必须使用(SSL)加密方式连接AD,需满足如下几个条件:① AD上需要安装证书服务。② 连接AD的主机上使用http://myhostcom/certsrv/打开浏览器申请证书。③ 如果连接AD的主机是Linux,需要安装openssl包,制作CA证书
微软官方给出的ldap修改密码方案:密码存储在 Active Directory 用户中的对象的 unicodePwd属性。可以在有限的情况下,写入此属性,但无法读取。该特性只能修改 ;不能将添加的对象的创建日期或通过搜索查询。 若要修改此属性 ,则客户端必须 128 位安全套接字层 (SSL) 连接到服务器 。为此连接成为可能,服务器必须拥有一个 128 位的 RSA 连接的服务器证书,客户端必须信任生成服务器证书的证书颁发机构 (CA) 和客户端和服务器必须能够使用 128 位加密。
AD、LDAP提供目录服务,即类似于企业、人员黄页的东西,用户和组织的信息都被存放在上面,查找起来十分快捷,也可以理解成一种特殊的数据库。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。为了访问存储在目录中的信息,就需要使用运行在TCP/IP 之上的访问协议—LDAP。
LDAP目录中的信息是是按照树型结构组织,具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录;条目是具有区别名DN (Distinguished Name)的属性(Attribute),DN是用来引用条目的,DN相当于关系数据库表中的关键字(Primary Key)。属性由类型(Type)和一个或多个值(Values)组成,相当于关系数据库中的字段(Field)由字段名和数据类型组成,只是为了方便检索的需要,LDAP中的Type可以有多个Value,而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置和组织关系进行组织,非常的直观。LDAP把数据存放在文件中,为提高效率可以使用基于索引的文件数据库,而不是关系数据库。类型的一个例子就是mail,其值将是一个电子邮件地址。
LDAP的信息是以树型结构存储的,在树根一般定义国家(c=CN)或域名(dc=com),在其下则往往定义一个或多个组织 (organization)(o=Acme)或组织单元(organizational units) (ou=People)。一个组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。此外,LDAP支持对条目能够和必须支持哪些属性进行控制,这是有一个特殊的称为对象类别(objectClass)的属性来实现的。该属性的值决定了该条目必须遵循的一些规则,其规定了该条目能够及至少应该包含哪些属性。例如:inetorgPerson对象类需要支持sn(surname)和cn(common name)属性,但也可以包含可选的如邮件,电话号码等属性。
LDAP本身只提供认证服务。
至于你用什么信息认证,那么是你的客户端说了算了。
换句话说,LDAP本身相当于一个数据库只存储了你的认证信息。
你的需求LDAP本身是不可实现的,但是它又是支持这种应用的,
具体的控制实现细节需要更改你的认证程序。
你完全可以把个人笔记本的固有信息也存储于LDAP服务器中,
要求认证时和用户名密码一起认证。
0条评论