爲啥用LDAP,當然是爲了統一認證啦。爲啥要用統一認證?話說你家裏有十臺八臺機器的時候,你可以手動去創建賬號,維護賬號,有人來了,我們開心快樂的去開賬號,有人走了我們在緬懷一下去關賬號,科學一點你可以使用ansible或者saltstack 等自動化工具來幹這事,but 當你的機器成千上萬的時候呢?或者你的人頭成千上萬的時候呢?那個時候就不是開心快樂的去開了吧?這個時候統一的賬號認證系統就是你的利器了!另外從長遠考慮,無論你管理的機器規模有多大,最好有這樣的統一認證體系,打好基礎萬一哪天你們公司業務量暴增了,你就能少抄很多心,少幹很多活,就可以用這個時間泡泡妞,聊聊M的不是挺好!認證系統可以用微軟的AD,不過要花銀子,花銀子老闆就不高興,加上我們運維人員都是Linux派,對windows 。。。!所以OpenLdap就是我們減預算,哄老闆開心,開通統一認證平臺的居家旅行必備利器了!
一,LDAP 協議簡介
工欲善其事,必先利其器,還是要先來了解一下LDAP協議的相關內容:
LDAP是一款輕量級目錄訪問協議(Lightweight Directory Access Protocol,簡稱LDAP),屬於開源集中賬號管理架構的實現,且支持衆多系統版本,被廣大互聯網公司所採用。
LDAP提供並實現目錄服務的信息服務,目錄服務是一種特殊的數據庫系統,對於數據的讀取、瀏覽、搜索有很好的效果。目錄服務一般用來包含基於屬性的描述性信息並支持精細複雜的過濾功能,但OpenLDAP目錄服務不支持通用數據庫的大量更新操作所需要的複雜的事務管理或回滾策略等。
LDAP具有兩個標準,分別是X.500和LDAP。OpenLDAP是基於X.500標準的,而且去除了X.500複雜的功能並且可以根據自我需求定製額外擴展功能,但與X.500也有不同之處,例如OpenLDAP支持TCP/IP協議等,目前TCP/IP是Internet上訪問互聯網的協議。
OpenLDAP可以直接運行在更簡單和更通用的TCP/IP或其他可靠的傳輸協議層上,避免了在OSI會話層和表示層的開銷,使連接的建立和包的處理更簡單、更快,對於互聯網和企業網應用更理想。
OpenLDAP目錄中的信息是以樹狀的層次結構來存儲數據(這很類同於DNS),最頂層即根部稱作“基準DN”,形如“dc=mydomain,dc=org”或者“o=mydomain.org”,前一種方式更爲靈活也是Windows AD中使用的方式。在根目錄的下面有很多的文件和目錄,爲了把這些大量的數據從邏輯上分開,OpenLDAP像其它的目錄服務協議一樣使用OU(Organization Unit,組織單元),可以用來表示公司內部機構,如部門等,也可以用來表示設備、人員等。同時OU還可以有子OU,用來表示更爲細緻的分類。
OpenLDAP中每一條記錄都有一個唯一的區別於其它記錄的名字DN(Distinguished Name),其處在“葉子”位置的部分稱作RDN(用戶條目的相對標識名)。如dn:cn=tom,ou=ops,dc=company,dc=com中cn即爲RDN,而RDN在一個OU中必須是唯一的。
OpenLDAP默認以Berkeley DB作爲後端數據庫,BerkeleyDB數據庫主要以散列的數據類型進行數據存儲,如以鍵值對的方式進行存儲。
BerkeleyDB是一類特殊的面向查詢進行優化、面向讀取進行優化的數據庫,主要用於搜索、瀏覽、更新查詢操作,一般對於一次寫入數據、多次查詢和搜索有很好的效果。BerkeleyDB不支持事務型數據庫(MySQL、MariDB、Oracle等)所支持的高併發的吞吐量以及複雜的事務操作。
LDAP 先關的名稱介紹:
Attribute type Attribute value
c 國家
dc domain component,常用來指一個域名的一部分
cn common name,一個對象的名字,如果指人,使用全名
ou 一個組織單元的名字
sn Surname,一個人的姓
uid Userid,某個用戶的登錄名,與Linux系統中用戶的uid不同
o 組織的名字
(4)DN: Distinguished Name,每個葉子結點到根的路徑就是DN
如: cn=test, ou=ou1, o=zhangyang.com
(5)RDN: Relative Distinguished Name,葉子結點本身的名字是RDN
如:test就是RDN
(6)Base DN: 基準DN,指定LDAP search的起始DN,即從哪個DN下開始搜索
搜索組織單元爲ou1,則base DN爲 ou=ou1,o=O
ou=ou1,o=zhangyang.com 或 ou=ou1,dc=zhangyang, dc=com
x.500 協議名詞
DSA directory system agent 目錄系統代理
DIT Directory information tree 目錄信息樹
DUA directory user agent 目錄用戶代理
DSP directory system protocol 目錄系統協議