📄 介绍ldap.htm

📁 介绍一种存储结构
💻 HTM
📖 第 1 页 / 共 5 页
字号:
上一页 1 2 3 45
style="FONT-FAMILY: 宋体">的时候，就在脑袋里想一想“</SPAN><SPAN lang=EN-US>login</SPAN><SPAN 
style="FONT-FAMILY: 宋体">”。</SPAN></P>
<P><SPAN style="FONT-FAMILY: 宋体">请注意</SPAN><SPAN lang=EN-US>CN</SPAN><SPAN 
style="FONT-FAMILY: 宋体">有多个值。就象上面介绍的，</SPAN><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">允许某些属性有多个值。为什么允许有多个值呢？假定你在用公司的</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">服务器查找</SPAN><SPAN 
lang=EN-US>Fran</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的电话号码。你可能只知道她的名字叫</SPAN><SPAN 
lang=EN-US>Fran</SPAN><SPAN 
style="FONT-FAMILY: 宋体">，但是对人力资源处的人来说她的正式名字叫做</SPAN><SPAN 
lang=EN-US>Frances</SPAN><SPAN 
style="FONT-FAMILY: 宋体">。因为保存了她的两个名字，所以用任何一个名字检索都可以找到</SPAN><SPAN 
lang=EN-US>Fran</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的电话号码、电子邮件和办公房间号，等等。</SPAN></P>
<P class=a><SPAN>&nbsp; </SPAN>mailRoutingAddress: fsmith@foobar.com </P>
<P class=a><SPAN>&nbsp; </SPAN>mailhost: mail.foobar.com</P>
<P><SPAN style="FONT-FAMILY: 宋体">就象现在大多数的公司都上网了，</SPAN><SPAN 
lang=EN-US>Foobar</SPAN><SPAN style="FONT-FAMILY: 宋体">用</SPAN><SPAN 
lang=EN-US>Sendmail</SPAN><SPAN 
style="FONT-FAMILY: 宋体">发送邮件和处理外部邮件路由信息。</SPAN><SPAN 
lang=EN-US>Foobar</SPAN><SPAN style="FONT-FAMILY: 宋体">把所有用户的邮件信息都存在</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">中。最新版本的</SPAN><SPAN 
lang=EN-US>Sendmail</SPAN><SPAN style="FONT-FAMILY: 宋体">支持这项功能。</SPAN></P>
<P class=a><SPAN>&nbsp; </SPAN>Userpassword: {crypt}3x1231v76T89N </P>
<P class=a><SPAN>&nbsp; </SPAN>uidnumber: 1234 </P>
<P class=a><SPAN>&nbsp; </SPAN>gidnumber: 1200 </P>
<P class=a><SPAN>&nbsp; </SPAN>gecos: Frances Smith </P>
<P class=a><SPAN>&nbsp; </SPAN>homedirectory: /home/fsmith </P>
<P class=a><SPAN>&nbsp; </SPAN>loginshell: /usr/local/bin/bash</P>
<P><SPAN style="FONT-FAMILY: 宋体">注意，</SPAN><SPAN lang=EN-US>Foobar</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的系统管理员把所有用户的口令映射信息也都存在</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">中。</SPAN><SPAN lang=EN-US 
style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Courier New'">FoobarPerson</SPAN><SPAN 
style="FONT-FAMILY: 宋体">类型的对象具有这种能力。再注意一下，用户口令是用</SPAN><SPAN 
lang=EN-US>UNIX</SPAN><SPAN style="FONT-FAMILY: 宋体">的口令加密格式存储的。</SPAN><SPAN 
lang=EN-US>UNIX</SPAN><SPAN style="FONT-FAMILY: 宋体">的</SPAN><SPAN 
lang=EN-US>uid</SPAN><SPAN style="FONT-FAMILY: 宋体">在这里为</SPAN><SPAN lang=EN-US 
style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Courier New'">uidnumber</SPAN><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 黑体">。</SPAN><SPAN 
style="FONT-FAMILY: 宋体">提醒你一下，关于如何在</SPAN><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">中保存</SPAN><SPAN lang=EN-US>NIS</SPAN><SPAN 
style="FONT-FAMILY: 宋体">信息，有完整的一份</SPAN><SPAN lang=EN-US>RFC</SPAN><SPAN 
style="FONT-FAMILY: 宋体">。在以后的文章中我会谈一谈</SPAN><SPAN lang=EN-US>NIS</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的集成。</SPAN></P>
<H2><A name=_LDAP复制></A><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 黑体">复制</SPAN></H2>
<P><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器可以使用基于“推”或者“拉”的技术，用简单或基于安全证书的安全验证，复制一部分或者所有的数据。</SPAN></P>
<P><SPAN style="FONT-FAMILY: 宋体">例如，</SPAN><SPAN lang=EN-US>Foobar</SPAN><SPAN 
style="FONT-FAMILY: 宋体">有一个“公用的”</SPAN><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器，地址为</SPAN><SPAN 
lang=EN-US>ldap.foobar.com</SPAN><SPAN style="FONT-FAMILY: 宋体">，端口为</SPAN><SPAN 
lang=EN-US>389</SPAN><SPAN style="FONT-FAMILY: 宋体">。</SPAN><SPAN 
lang=EN-US>Netscape Communicator</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的电子邮件查询功能、</SPAN><SPAN lang=EN-US>UNIX</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的“</SPAN><SPAN lang=EN-US>ph</SPAN><SPAN 
style="FONT-FAMILY: 宋体">”命令要用到这个服务器，用户也可以在任何地方查询这个服务器上的员工和客户联系信息。公司的主</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器运行在相同的计算机上，不过端口号是</SPAN><SPAN 
lang=EN-US>1389</SPAN><SPAN style="FONT-FAMILY: 宋体">。</SPAN></P>
<P><SPAN 
style="FONT-FAMILY: 宋体">你可能即不想让员工查询资产管理或食谱的信息，又不想让信息技术人员看到整个公司的</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">目录。为了解决这个问题，</SPAN><SPAN 
lang=EN-US>Foobar</SPAN><SPAN style="FONT-FAMILY: 宋体">有选择地把子目录树从主</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">服务器复制到“公用”</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器上，不复制需要隐藏的信息。为了保持数据始终是最新的，主目录服务器被设置成即时“推”同步。这些种方法主要是为了方便，而不是安全，因为如果有权限的用户想查询所有的数据，可以用另一个</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">端口。</SPAN></P>
<P><SPAN style="FONT-FAMILY: 宋体">假定</SPAN><SPAN lang=EN-US>Foobar</SPAN><SPAN 
style="FONT-FAMILY: 宋体">通过从奥克兰到欧洲的低带宽数据的连接用</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">管理客户联系信息。可以建立从</SPAN><SPAN 
lang=EN-US>ldap.foobar.com:1389</SPAN><SPAN 
style="FONT-FAMILY: 宋体">到</SPAN><SPAN 
lang=EN-US>munich-ldap.foobar.com:389</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的数据复制，象下面这样：</SPAN></P>
<P class=a><SPAN>&nbsp; </SPAN>periodic pull: 
ou=asia,ou=customers,o=sendmail.com</P>
<P class=a><SPAN>&nbsp; </SPAN>periodic pull: 
ou=us,ou=customers,o=sendmail.com</P>
<P class=a><SPAN>&nbsp; </SPAN>immediate push: 
ou=europe,ou=customers,o=sendmail.com</P>
<P><SPAN style="FONT-FAMILY: 宋体">“拉”连接每</SPAN><SPAN lang=EN-US>15</SPAN><SPAN 
style="FONT-FAMILY: 宋体">分钟同步一次，在上面假定的情况下足够了。“推”连接保证任何欧洲的联系信息发生了变化就立即被“推”到</SPAN><SPAN 
lang=EN-US>Munich</SPAN><SPAN style="FONT-FAMILY: 宋体">。</SPAN></P>
<P><SPAN style="FONT-FAMILY: 宋体">用上面的复制模式，用户为了访问数据需要连接到哪一台服务器呢？在</SPAN><SPAN 
lang=EN-US>Munich</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的用户可以简单地连接到本地服务器。如果他们改变了数据，本地的</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">服务器就会把这些变化传到主</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">服务器。然后，主</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器把这些变化“推”回本地的“公用”</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器保持数据的同步。这对本地的用户有很大的好处，因为所有的查询（大多数是读）都在本地的服务器上进行，速度非常快。当需要改变信息的时候，最终用户不需要重新配置客户端的软件，因为</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">目录服务器为他们完成了所有的数据交换工作。</SPAN></P>
<H2><A name=_安全和访问控制></A><SPAN style="FONT-FAMILY: 黑体">安全和访问控制</SPAN></H2>
<P><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">提供很复杂的不同层次的访问控制或者</SPAN><SPAN lang=EN-US>ACI</SPAN><SPAN 
style="FONT-FAMILY: 宋体">。因这些访问可以在服务器端控制，这比用客户端的软件保证数据的安全可安全多了。</SPAN></P>
<P><SPAN style="FONT-FAMILY: 宋体">用</SPAN><SPAN lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">的</SPAN><SPAN lang=EN-US>ACI</SPAN><SPAN 
style="FONT-FAMILY: 宋体">，可以完成：</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN 
style="FONT-FAMILY: 宋体">给予用户改变他们自己的电话号码和家庭地址的权限，但是限制他们对其它数据（如，职务名称，经理的登录名，等等）只有“只读”权限。</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">给予“</SPAN><SPAN 
lang=EN-US>HR-admins</SPAN><SPAN 
style="FONT-FAMILY: 宋体">”组中的所有人权限以改变下面这些用户的信息：经理、工作名称、员工号、部门名称和部门号。但是对其它域没有写权限。</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">禁止任何人查询</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">服务器上的用户口令，但是可以允许用户改变他或她自己的口令。</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN 
style="FONT-FAMILY: 宋体">给予经理访问他们上级的家庭电话的只读权限，但是禁止其他人有这个权限。</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">给予“</SPAN><SPAN 
lang=EN-US>host-admins</SPAN><SPAN 
style="FONT-FAMILY: 宋体">”组中的任何人创建、删除和编辑所有保存在</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">服务器中的与计算机主机有关的信息</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">通过</SPAN><SPAN 
lang=EN-US>Web</SPAN><SPAN style="FONT-FAMILY: 宋体">，允许“</SPAN><SPAN 
lang=EN-US>foobar-sales</SPAN><SPAN 
style="FONT-FAMILY: 宋体">”组中的成员有选择地给予或禁止他们自己读取一部分客户联系数据的读权限。这将允许他们把客户联系信息下载到本地的笔记本电脑或个人数字助理（</SPAN><SPAN 
lang=EN-US>PDA</SPAN><SPAN style="FONT-FAMILY: 宋体">）上。（如果销售人员的软件都支持</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN style="FONT-FAMILY: 宋体">，这将非常有用）</SPAN></P>
<P><SPAN lang=EN-US style="FONT-FAMILY: Wingdings">l<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN><SPAN style="FONT-FAMILY: 宋体">通过</SPAN><SPAN 
lang=EN-US>Web</SPAN><SPAN 
style="FONT-FAMILY: 宋体">，允许组的所有者删除或添加他们拥有的组的成员。例如：可以允许销售经理给予或禁止销售人员改变</SPAN><SPAN 
lang=EN-US>Web</SPAN><SPAN style="FONT-FAMILY: 宋体">页的权限。也可以允许邮件假名（</SPAN><SPAN 
lang=EN-US>mail aliase</SPAN><SPAN style="FONT-FAMILY: 宋体">）的所有者不经过</SPAN><SPAN 
lang=EN-US>IT</SPAN><SPAN 
style="FONT-FAMILY: 宋体">技术人员就直接从邮件假名中删除或添加用户。“公用”的邮件列表应该允许用户从邮件假名中添加或删除自己（但是只能是自己）。也可以对</SPAN><SPAN 
lang=EN-US>IP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">地址或主机名加以限制。例如，某些域只允许用户</SPAN><SPAN 
lang=EN-US>IP</SPAN><SPAN style="FONT-FAMILY: 宋体">地址以</SPAN><SPAN 
lang=EN-US>192.168.200.*</SPAN><SPAN 
style="FONT-FAMILY: 宋体">开头的有读的权限，或者用户反向查找</SPAN><SPAN lang=EN-US>DNS</SPAN><SPAN 
style="FONT-FAMILY: 宋体">得到的主机名必须为</SPAN><SPAN 
lang=EN-US>*.foobar.com</SPAN><SPAN style="FONT-FAMILY: 宋体">。</SPAN></P>
<P><SPAN style="FONT-FAMILY: 宋体">这不过是让你了解一下可以对</SPAN><SPAN 
lang=EN-US>LDAP</SPAN><SPAN 
style="FONT-FAMILY: 宋体">目录进行怎样的访问控制，实际上真正实现起来需要做的工作比这多得多。在以后的文章中我会详细地讨论访问控制。</SPAN></P></DIV></BODY></HTML>
上一页 1 2 3 45
💿 文件大小 12 K
👤 上传用户 zhangtaoai007
📂 所属分类 CA认证
🏷️ 相关标签

#存储结构
⌨️ 快捷键说明

复制代码 Ctrl + C
搜索代码 Ctrl + F
全屏模式 F11
切换主题 Ctrl + Shift + D
显示快捷键 ?
增大字号 Ctrl + =
减小字号 Ctrl + -