LDAP学习笔记（一）LDAP基本元素

该系列笔记记录学习LDAP过程中的一些名词、概念等

---

LDAP基本元素

• 目录（Directory）
• 目录信息树（DIT）
• 条目（Entry）
• 属性（Attribute）
• 属性类型（AttributeType）
• 对象类（ObjectClass）
• 模式（Schema）

目录

目录由众多对象按某种结构组织而成，其中每个对象都有相应的属性信息，即目录是对象的集合，可以提供信息查询服务。
目录中的对象在逻辑组织上通常是有层次的，称为目录树。
目录树的组织可以为集中式（Centralized）或分布式（Distributed）。
集中式，整棵目录树被集中存放在一起，结构简单。
分布式，目录树被分开存放在多个地方，各处都拥有整棵树中的一个分支，且都可以提供目录服务。
分区 —— 即一个分支仅在一个目录服务器中的划分方式。
复制 —— 即一个分支有多个副本各自出现在不同的服务器中
分布式目录组织可以是分区的，也可以是复制的，复杂环境中两者可同时存在。

目录信息树

dn - distinguished name（区别名，主键）
o - organization（组织-公司）
ou - organizationUnit（组织单元-部门）
c - country（国家）
dc - domainComponent（域名）
sn - sureName（真实名称）
cn - commonName（常用名称）

条目

条目是目录管理的对象，LDAP中最基本的颗粒，类似数据库中的记录。
通常对LDAP的增删改查操作都是以条目为基本对象的。
每一个条目有唯一标识名（Distinguished Name, DN）
DN在语法上由多个相对标识名（Relative Distinguished Name, RDN）组成，以逗号分割。
通过DN的层次型语法结构，可以方便地标识出条目在LDAP树中的位置。
在不引起歧义的时候，RDN也特指DN中最靠前的一段，剩余部分称为父标识（Parent DN, PDN）。比如DN为cn=tom, ou=dev, o=ibm, c=cn，RDN指cn=tom，PDN指ou=dev, o=ibm, c=cn。
RDN也可由多个值构成，用加号隔开，如ou=sales+cn=J.Smith

属性

每个条目可以有很多属性，每个属性都有名称及对应值，属性值可以是单个也可以是多个。

属性 别名 语法 描述 值 commonName cn Directory String 姓名 John Smith surname sn Directory String 姓 Smith organization o Directory String 组织（公司）名称 IBM organizationalUnitName ou Directory String 单位（部门）名称 HR telephoneNumber Telephone Number 电话号码 086-8610000 owner DN 该条目的拥有者 cn=John,o=IBM,c=us jpegPhoto Binary JPEG照片

属性类型

每个属性都有唯一的属性类型，属性类型约定属性值的数据格式和语法类型（Syntax）。
属性类型也约定了属性值是否可以有多个，以及属性查询时的匹配规则、排序规则、大小写敏感等。

对象类

对象类是属性的集合，LDAP预想了很多人员组织机构中常见的对象，并将其封装成对象类。
每个条目可以直接继承多个对象类，这样就继承了各种属性。
对象类规定了哪些属性是基本信息，必须含有（Must或Reuired，必要属性）；哪些属性是扩展信息，可以含有（May或Optional，可选属性）
对象类有三种类型：结构类型（Structural）、抽象类型（Abstract）和辅助类型（Auxiliary）。
结构类型是最基本的类型，它规定了对象试题的基本属性，每个条目属于且仅属于一个结构型对象类。
抽象类型可以是结构类型或其它抽象类型的父类。
条目不能直接继承抽象型对象类。
辅助类规定对象实体的扩展属性，每个条目可继承多个辅助类。

模式

对象类、属性类型、语法分别约定了条目、属性、值，所有这些构成了模式。
模式中的每个元素都有唯一的OID编号。
条目数据在导入时通常需要接受模式检查，确保目录中所有条目数据结构一致。