Luotianyi

「瞎说一下LDAP」

| 日常向 | 1191字

轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP)是一种成熟,灵活且支持良好的基于​​标准的机制,用于与目录服务器交互。
它通常用于身份验证和存储有关用户,组和应用程序的信息,但LDAP目录服务器是一个相当通用的数据存储,可用于各种应用程序。

它是基于TCP/IP标准的协议,允许客户端在目录服务器中执行各种操作,包括存储和检索数据,搜索与给定标准集匹配的数据,对客户端进行身份验证等。

LDAP的标准TCP端口对于未加密的通信是389,对于通过TLS加密的通道端口为636。

ldapdotcom-white-background-with-text-1024x341.png

LDAP已经成熟但正在发展
LDAP已存在一段时间了。最新版本的规范LDAPv3于1997年12月正式发布。之前的LDAP版本已经存在了几年。LDAP本身就是X.500的轻量级版本,它是在20世纪80年代后期为电信行业开发的。它实际上是一种运营商级协议和服务。

但是,这并不是说它停滞不前。从那时起,对协议进行了修订和澄清,仍然有积极的标准工作。此外,由于LDAP是大多数大型企业和互联网规模公司的关键组成部分,因此供应商之间存在很多竞争,这些竞争不断推动性能,可扩展性和创新。如果你很久以前看过LDAP但最近没有看过它,你对它的印象可能已经过时了。

LDAP很轻量级
这就是LDAP中的“L”代表的含义。它在技术上是X.500的轻量级版本,但与大多数其他“现代”协议相比,它也非常轻巧。LDAP消息使用ASN.1 BER进行编码,这是一种紧凑的二进制格式,对编码和解码非常有效。它比JSON或基于HTTP的XML更加简化。

LDAP还使用持久连接与目录服务器通信。虽然许多基于HTTP的现代协议使用相对短暂的连接,但LDAP连接可以存活数小时或数天甚至更长时间。这在性能和可伸缩性方面可以产生很大的不同,因为建立新连接比使用已经可用的连接要昂贵得多,尤其是在使用需要协商或恢复TLS会话的安全连接时。并且因为服务器可以将状态信息与连接相关联,所以客户端不必包括每个请求的标识信息,这使得它们更小且更有效。

LDAP是安全的
LDAP目录服务器通常用作身份验证存储库,通常用于存储密码和其他帐户详细信息等敏感信息。因此,安全性是大多数目录服务器的重要方面。这包括大量的密码策略功能,如强大的编码机制和可以阻止用户选择弱密码的约束,但它还包括通过SASL(简单的身份验证和安全层)支持各种身份验证类型,包括可能性通过一次性密码等机制实现双因素选择。

最重要的是,目录服务器通常提供对细粒度访问控制的支持,这些访问控制限制任何单个用户可以访问的条目,属性和值,以及以何种方式访问​​。此外,虽然许多基于SQL和基于NoSQL的应用程序倾向于使用单个帐户进行与数据存储的所有交互,但LDAP应用程序通常以最终用户身份执行操作,这样可以更好地确保其活动受到适当限制,并且提供更好的审计跟踪。

以上内容均为机翻,概念看完了,既然LDAP有那么多优点,实际上应用也非常广阔.很多著名大厂都有相关目录服务器.
比如微软的AD服务器.
还有:

作为客户端,也有丰富的API与其交互,Client APIs可以查看到.

作为管理员,可以使用图像话工具浏览编辑,LDAP Tools可以查看更详细的信息,命令行管理也请戳它.

用于与LDAP目录服务器中的数据交互的图形工具。

好了,机翻,复制粘贴顺利的水文一篇结束.

-EOF-

上一篇: Ubuntu下编译安装OpenLDAP

下一篇: [模块化]本站Nginx配置

Kay

@2018-12-28 12:37:14

LDAP
评论的人最可爱~