介绍ldap.htm

介绍一种存储结构

lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">不同的是，如果软件产商想在软件产品中集成对</SPAN><SPAN 
lang=EN-US>DBMS</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的支持，那么通常都要对每一个数据库服务器单独定制。</SPAN></P>
<P><SPAN style="FONT-FAMILY: 宋体">不象很多商用的关系型数据库，你不必为</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">的每一个客户端连接或许可协议付费。</SPAN></P>
<P><SPAN style="FONT-FAMILY: 宋体">大多数的</SPAN><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器安装起来很简单，也容易维护和优化。</SPAN></P>
<P><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推”到远程的办公室，以增加数据的安全性。复制技术是内置在</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器中的而且很容易配置。如果要在</SPAN><SPAN 
lang=EN-US>DBMS</SPAN><SPAN 
style="FONT-FAMILY: 宋体">中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。</SPAN></P>
<P><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">允许你根据需要使用</SPAN><SPAN lang=EN-US>ACI</SPAN><SPAN 
style="FONT-FAMILY: 宋体">（一般都称为</SPAN><SPAN lang=EN-US>ACL</SPAN><SPAN 
style="FONT-FAMILY: 宋体">或者访问控制列表）控制对数据读和写的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的域。</SPAN><SPAN 
lang=EN-US>ACI</SPAN><SPAN 
style="FONT-FAMILY: 宋体">可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。</SPAN></P>
<P><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">对于这样存储这样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新。例如，这些信息存储在</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">目录中是十分有效的：</SPAN></P>
<P class=MsoListBullet><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">公司员工的电话号码簿和组织结构图</SPAN></P>
<P class=MsoListBullet><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">客户的联系信息</SPAN></P>
<P class=MsoListBullet><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">计算机管理需要的信息，包括</SPAN><SPAN 
lang=EN-US>NIS</SPAN><SPAN style="FONT-FAMILY: 宋体">映射、</SPAN><SPAN 
lang=EN-US>email</SPAN><SPAN style="FONT-FAMILY: 宋体">假名，等等</SPAN></P>
<P class=MsoListBullet><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">软件包的配置信息</SPAN></P>
<P class=MsoListBullet><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">公用证书和安全密匙</SPAN></P>
<H2><A name=_什么时候该用LDAP存储数据></A><A name=_什么时候该用LDAP存储数据？></A><SPAN 
style="FONT-FAMILY: 黑体">什么时候该用</SPAN><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 黑体">存储数据？</SPAN></H2>
<P><SPAN style="COLOR: black; FONT-FAMILY: 宋体">大多数的</SPAN><SPAN lang=EN-US 
style="COLOR: black">LDAP</SPAN><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">服务器都为读密集型的操作进行专门的优化。因此，当从</SPAN><SPAN 
lang=EN-US style="COLOR: black">LDAP</SPAN><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">服务器中读取数据的时候会比从专门为</SPAN><SPAN lang=EN-US 
style="COLOR: black">OLTP</SPAN><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化，大多数的</SPAN><SPAN 
lang=EN-US style="COLOR: black">LDAP</SPAN><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">目录服务器并不适合存储需要需要经常改变的数据。例如，用</SPAN><SPAN 
lang=EN-US style="COLOR: black">LDAP</SPAN><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">服务器来存储电话号码是一个很好的选择，但是它不能作为电子商务站点的数据库服务器。</SPAN><SPAN 
lang=EN-US style="COLOR: black"></SPAN></P>
<P><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">如果下面每一个问题的答案都是“是”，那么把数据存在</SPAN><SPAN 
lang=EN-US style="COLOR: black">LDAP</SPAN><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">中就是一个好主意。</SPAN><SPAN lang=EN-US 
style="COLOR: black"></SPAN></P>
<P class=MsoListBullet><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">需要在任何平台上都能读取数据吗？</SPAN></P>
<P class=MsoListBullet><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">每一个单独的记录项是不是每一天都只有很少的改变？</SPAN></P>
<P class=MsoListBullet><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">可以把数据存在平面数据库（</SPAN><SPAN 
lang=EN-US>flat database</SPAN><SPAN 
style="FONT-FAMILY: 宋体">）而不是关系型数据库中吗？换句话来说，也就是不管什么范式不范式的，把所有东西都存在一个记录中（差不多只要满足第一范式）。</SPAN></P>
<P><SPAN 
style="FONT-FAMILY: 宋体">最后一个问题可能会唬住一些人，其实用平面数据库去存储一些关系型的数据也是很一般的。例如，一条公司员工的记录就可以包含经理的登录名。用</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">来存储这类信息是很方便的。一个简单的判断方法：如果可以把保数据存在一张张的卡片里，就可以很容易地把它存在</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">目录里。</SPAN></P>
<H2><A name=_LDAP目录树的结构></A><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 黑体">目录树的结构</SPAN></H2>
<P><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">目录以树状的层次结构来存储数据。如果你对自顶向下的</SPAN><SPAN 
lang=EN-US>DNS</SPAN><SPAN style="FONT-FAMILY: 宋体">树或</SPAN><SPAN 
lang=EN-US>UNIX</SPAN><SPAN 
style="FONT-FAMILY: 宋体">文件的目录树比较熟悉，也就很容易掌握</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">目录树这个概念了。就象</SPAN><SPAN 
lang=EN-US>DNS</SPAN><SPAN style="FONT-FAMILY: 宋体">的主机名那样，</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">目录记录的标识名（</SPAN><SPAN 
lang=EN-US>Distinguished Name</SPAN><SPAN 
style="FONT-FAMILY: 宋体">，简称</SPAN><SPAN lang=EN-US>DN</SPAN><SPAN 
style="FONT-FAMILY: 宋体">）是用来读取单个记录，以及回溯到树的顶部。后面会做详细地介绍。</SPAN></P>
<P><SPAN 
style="FONT-FAMILY: 宋体">为什么要用层次结构来组织数据呢？原因是多方面的。下面是可能遇到的一些情况：</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN 
style="FONT-FAMILY: 宋体">如果你想把所有的美国客户的联系信息都“推”到位于到西雅图办公室（负责营销）的</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器上，但是你不想把公司的资产管理信息“推”到那里。</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN 
style="FONT-FAMILY: 宋体">你可能想根据目录树的结构给予不同的员工组不同的权限。在下面的例子里，资产管理组对“</SPAN><SPAN 
lang=EN-US>asset-mgmt</SPAN><SPAN 
style="FONT-FAMILY: 宋体">”部分有完全的访问权限，但是不能访问其它地方。</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">把</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">存储和复制功能结合起来，可以定制目录树的结构以降低对</SPAN><SPAN 
lang=EN-US>WAN</SPAN><SPAN 
style="FONT-FAMILY: 宋体">带宽的要求。位于西雅图的营销办公室需要每分钟更新的美国销售状况的信息，但是欧洲的销售情况就只要每小时更新一次就行了。</SPAN></P>
<H3><SPAN style="FONT-FAMILY: 宋体">刨根问底：基准</SPAN><SPAN lang=EN-US>DN</SPAN></H3>
<P><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">目录树的最顶部就是根，也就是所谓的“基准</SPAN><SPAN 
lang=EN-US>DN</SPAN><SPAN style="FONT-FAMILY: 宋体">”。基准</SPAN><SPAN 
lang=EN-US>DN</SPAN><SPAN 
style="FONT-FAMILY: 宋体">通常使用下面列出的三种格式之一。假定我在名为</SPAN><SPAN 
lang=EN-US>FooBar</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的电子商务公司工作，这家公司在</SPAN><SPAN 
lang=EN-US>Internet</SPAN><SPAN style="FONT-FAMILY: 宋体">上的名字是</SPAN><SPAN 
lang=EN-US>foobar.com</SPAN><SPAN style="FONT-FAMILY: 宋体">。</SPAN></P>
<P class=a><B><SPAN lang=EN-US>o="FooBar, Inc.", c=US </SPAN></B></P>
<P><I><SPAN style="COLOR: black; FONT-FAMILY: 宋体">（以</SPAN><SPAN lang=EN-US 
style="COLOR: black">X.500</SPAN></I><I><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">格式表示的基准</SPAN><SPAN lang=EN-US 
style="COLOR: black">DN</SPAN></I><I><SPAN 
style="COLOR: black; FONT-FAMILY: 宋体">）</SPAN><SPAN lang=EN-US 
style="COLOR: black"></SPAN></I></P>
<P><SPAN style="FONT-FAMILY: 宋体">在这个例子中，</SPAN><SPAN lang=EN-US 
style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Courier New'">o=FooBar, 
Inc. </SPAN><SPAN style="FONT-FAMILY: 宋体">表示组织名，在这里就是公司名的同义词。</SPAN><SPAN 
lang=EN-US 
style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Courier New'">c=US 
</SPAN><SPAN style="FONT-FAMILY: 宋体">表示公司的总部在美国。以前，一般都用这种方式来表示基准</SPAN><SPAN 
lang=EN-US>DN</SPAN><SPAN 
style="FONT-FAMILY: 宋体">。但是事物总是在不断变化的，现在所有的公司都已经（或计划）上</SPAN><SPAN 
lang=EN-US>Internet</SPAN><SPAN style="FONT-FAMILY: 宋体">上。随着</SPAN><SPAN 
lang=EN-US>Internet</SPAN><SPAN style="FONT-FAMILY: 宋体">的全球化，在基准</SPAN><SPAN 
lang=EN-US>DN</SPAN><SPAN 
style="FONT-FAMILY: 宋体">中使用国家代码很容易让人产生混淆。现在，</SPAN><SPAN 
lang=EN-US>X.500</SPAN><SPAN style="FONT-FAMILY: 宋体">格式发展成下面列出的两种格式。</SPAN></P>
<P class=a><B><SPAN lang=EN-US>o=foobar.com</SPAN></B></P>
<P><I><SPAN style="FONT-FAMILY: 宋体">（用公司的</SPAN><SPAN 
lang=EN-US>Internet</SPAN></I><I><SPAN 
style="FONT-FAMILY: 宋体">地址表示的基准</SPAN><SPAN lang=EN-US>DN</SPAN></I><I><SPAN 
style="FONT-FAMILY: 宋体">）</SPAN><SPAN lang=EN-US></SPAN></I></P>
<P><SPAN style="FONT-FAMILY: 宋体">这种格式很直观，用公司的域名作为基准</SPAN><SPAN 
lang=EN-US>DN</SPAN><SPAN style="FONT-FAMILY: 宋体">。这也是现在最常用的格式。</SPAN></P>
<P class=a><B><SPAN lang=EN-US>dc=foobar, dc=com</SPAN></B></P>
<P><I><SPAN style="FONT-FAMILY: 宋体">（用</SPAN><SPAN 
lang=EN-US>DNS</SPAN></I><I><SPAN 
style="FONT-FAMILY: 宋体">域名的不同部分组成的基准</SPAN><SPAN 
lang=EN-US>DN</SPAN></I><I><SPAN style="FONT-FAMILY: 宋体">）</SPAN><SPAN