摘 要:隨著社會經(jīng)濟水平的發(fā)展和新經(jīng)濟時代的到來，信息量和信息交流日益劇增。國家行政部門和企業(yè)需要進一步提供辦公效率和管理水平，其中信息管理占有很重要的地位。傳統(tǒng)的和現(xiàn)有的信息管理系統(tǒng)不能完全適應這種發(fā)展，需要有新的方法、新的結構、新的產(chǎn)品來滿足需求。以X.500和LDAP國際標準為基礎的目錄數(shù)據(jù)庫和互聯(lián)網(wǎng)技術可以在諸多方面滿足信息管理的新要求。改善現(xiàn)有信息管理過程中存在的不足，提高信息管理水平，越來越受到人們的廣泛關注。本文詳細介紹了目錄服務中LDAP技術。

關鍵詞:目錄服務 LDAP

中圖分類號:TP31 文獻標識碼:A 文章編號:1674-098X(2011)03(c)-0064-01

1 目錄服務基本概念

目錄服務是一種專用的數(shù)據(jù)庫，是存放資源信息的軟件的集合，它建立在ITU X.500和LDAP(輕型目錄訪問協(xié)議)等國際標準協(xié)議之上，采用樹狀的方式組織數(shù)據(jù)，在設計上以查詢效率為目標，通過自身的特性和元目錄功能，可以和各應用系統(tǒng)現(xiàn)行基礎結構方便地集成，使來自不同系統(tǒng)的信息資源在目錄內(nèi)部實現(xiàn)同步，從而將信息資源整合在目錄服務系統(tǒng)中。另外，采用目錄服務系統(tǒng)，各種數(shù)據(jù)還可以保存在原有的數(shù)據(jù)庫中，用戶通過向目錄服務器發(fā)出查詢請求，能夠盡快從現(xiàn)存數(shù)據(jù)庫中查詢信息。

NetWare和Windows NT服務器、TCP/IP客戶軟件及相應瀏覽器是大多數(shù)目錄服務的基礎。

目錄客戶機:是所有包含在目錄服務器上訪問特定目錄的代理軟件系統(tǒng)、網(wǎng)絡部件或應用程序?？蛻魴C的復雜程度各異。LDAP客戶機只有基本的查找功能，而更復雜的客戶機可以和其它服務連接，收集系統(tǒng)報表和配置信息。

目錄服務器:是配有用于特定目錄服務和響應由目錄客戶機發(fā)出的查找請求的數(shù)據(jù)庫/資源庫系統(tǒng)。

輕型目錄訪問協(xié)議(LDAP):LDAP是一種由Netscape公司開發(fā)并為眾多新瀏覽器支持的目錄訪問協(xié)議。各主要目錄服務器供應商將支持通過LDAP訪問其產(chǎn)品。

目錄化管理:是采用標準目錄服務作為其基礎資源庫和通訊設施的網(wǎng)絡或系統(tǒng)管理方案?，F(xiàn)有的例子包括桌面管理(Novell公司的ZENworks)、DNS/DHCP地址管理(Lucent公司的QIP、Check Point軟件技術公司的MetaInfo)和網(wǎng)絡配置(FORE系統(tǒng)公司的Application Aware)。

2 目錄服務與LDAP

目錄服務是按照樹狀信息組織模式，實現(xiàn)信息管理和服務接口的一種方法。目錄服務系統(tǒng)一般由兩部分組成:第一部分是數(shù)據(jù)庫，一種分布式的數(shù)據(jù)庫，且擁有一個描述數(shù)據(jù)的規(guī)劃；第二部分則是訪問和處理數(shù)據(jù)庫有關的詳細的訪問協(xié)議。

3 LDAP技術分析

LDAP數(shù)據(jù)庫就像Sybase、Oracle、Informix或Microsoft的數(shù)據(jù)庫管理系統(tǒng)(DBMS)是用于處理查詢和更新關系型數(shù)據(jù)庫那樣，LDAP服務器也是用來處理查詢和更新LDAP目錄的。換句話來說LDAP目錄也是一種類型的數(shù)據(jù)庫，但是不是關系型數(shù)據(jù)庫。不象被設計成每分鐘需要處理成百上千條數(shù)據(jù)變化的數(shù)據(jù)庫，例如:在電子商務中經(jīng)常用到的在線交易處理(OLTP)系統(tǒng)，LDAP主要是優(yōu)化數(shù)據(jù)讀取的性能。

3.1 LDAP四種基本模型

(1)信息模型:描述LDAP的信息表示方式。

在LDAP中信息以樹狀方式組織，在樹狀信息中的基本數(shù)據(jù)單元是條目，而每個條目由屬性構成，屬性中存儲有屬性值；LDAP中的信息模式，類似于面向對象的概念，在LDAP中每個條目必須屬于某個或多個對象類(Object Class)，每個Object Class由多個屬性類型組成，每個屬性類型有所對應的語法和匹配規(guī)則；對象類和屬性類型的定義均可以使用繼承的概念。每個條目創(chuàng)建時，必須定義所屬的對象類，必須提供對象類中的必選屬性類型的屬性值，在LDAP中一個屬性類型可以對應多個值。

(2)命名模型:描述LDAP中的數(shù)據(jù)如何組織。

LDAP中的命名模型，也即LDAP中的條目定位方式。在LDAP中每個條目均有自己的DN和RDN。DN是該條目在整個樹中的唯一名稱標識，RDN是條目在父節(jié)點下的唯一名稱標識，如同文件系統(tǒng)中，帶路徑的文件名就是DN，文件名就是RDN。

(3)功能模型:描述LDAP中的數(shù)據(jù)操作訪問。

在LDAP中共有四類10種操作:查詢類操作，如搜索、比較；更新類操作，如添加條目、刪除條目、修改條目、修改條目名；認證類操作，如綁定、解綁定；其它操作，如放棄和擴展操作。

(4)安全模型:描述LDAP中的安全機制

LDAP中的安全模型主要通過身份認證、安全通道和訪問控制來實現(xiàn)。

身份認證。在LDAP中提供三種認證機制，即匿名、基本認證和SASL(Simple Authentication and Secure Layer)認證。匿名認證即不對用戶進行認證，該方法僅對完全公開的方式適用；基本認證均是通過用戶名和密碼進行身份識別，又分為簡單密碼和摘要密碼認證；SASL認證即LDAP提供的在SSL和TLS安全通道基礎上進行的身份認證，包括數(shù)字證書的認證。

通訊安全在LDAP中提供了基于SSL/TLS的通訊安全保障。SSL/TLS是基于PKI信息安全技術，是目前Internet上廣泛采用的安全服務。LDAP通過StartTLS方式啟動TLS服務，可以提供通訊中的數(shù)據(jù)保密性、完整性保護；通過強制客戶端證書認證的TLS服務，同時可以實現(xiàn)對客戶端身份和服務器端身份的雙向驗證。

訪問控制雖然LDAP目前并無訪問控制的標準，但從一些草案中或是事實上LDAP產(chǎn)品的訪問控制情況，我們不難看出:LDAP訪問控制異常的靈活和豐富，在LDAP中是基于訪問控制策略語句來實現(xiàn)訪問控制的，這不同于現(xiàn)有的關系型數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)，它是通過基于訪問控制列表來實現(xiàn)的，無論是基于組模式或角色模式，都擺脫不了這種限制。

在使用關系型數(shù)據(jù)庫系統(tǒng)開發(fā)應用時，往往是通過幾個固定的數(shù)據(jù)庫用戶名訪問數(shù)據(jù)庫。對于應用系統(tǒng)本身的訪問控制，通常是需要建立專門的用戶表，在應用系統(tǒng)內(nèi)開發(fā)針對不同用戶的訪問控制授權代碼，這樣一旦訪問控制策略變更時，往往需要代碼進行變更?？傊痪湓?，關系型數(shù)據(jù)庫的應用中用戶數(shù)據(jù)管理和數(shù)據(jù)庫訪問標識是分離的，復雜的數(shù)據(jù)訪問控制需要通過應用來實現(xiàn)。

在LDAP中，可以把整個目錄、目錄的子樹、制定條目、特定條目屬性集或符合某過濾條件的條目作為控制對象進行授權；可以把特定用戶、屬于特定組或所有目錄用戶作為授權主體進行授權；最后，還可以定義對特定位置(例如IP地址或DNS名稱)的訪問權。

參考文獻

[1]辛春生，等.分布式原理與范型[M].清華大學出版社，2008.

[2]劉軍，吳春鶯.實用數(shù)據(jù)再分析法[M].重慶大學出版社.