OPENLDAP建档讲解

OpenLDAP
objectClass的严格等级之分,最顶层类是top和alias. organizationalPerson这个objectClass隶属于Person,而Person有时top的子类
objectClass大致分为三类:结构型(person和organizationUnit)、辅助型(extensibeObject)和抽象型的
在LDAP上创建数据库
如"通用数据库指令"一节中所述,这个选项定义了由这个数据库保存的条目.你应该把这个选项设置为你准备创建的目录子树的根DN
比如: suffix "dc=example,dc=com"
你应该确保指定一个索引文件所在的目录
directory<directory>;
比如:directory /usr/local/var/openldap-data，你需要拥有足够权限创建该目录以使slapd可以使用它

配置slapd以便能够以一个有权限添加条目的目录用户连接到这个服务器上。可以把目录配置成支撑超级用户或者根用户的形式
rootdn<dn>;     ==> rootdn "cn=Manager,dc=example,dc=cm"
rootpw<passwd>;  ==> rootpw secret
这两个选择指定一个DN和口令来验证曹家用户条目，无论条目和口令是否在数据库中实际存在,这里指定的条目和口令都会起作用。

c:国家;
cn：common name 指一个对象的名字；如指人
dc：domain Component 经常用来指一个域名的一部分,如: dc=mydomain,dc=org
l:指一个地名，如一个城市或者地理区域的名字
mail: 电子信箱地址
o: organizationName指一个组织名字
objectClass 一个Ldap server要想启用必须能够认识每一个对象Attribute，Objectclass Attribute正是用来描述一个对象应该有的Attribute以及可选Attribute
  因此对每个objectClass模板的Attribute中必然含有一个objectClass Attriubte
ou:organizationUnitName 指定一个组织单元的名字
sn:surname:指一个人地姓
telephoneNumber: 电话号码应该带有所在的国家的代码
uid:userid 通常指一个人地登录名

六、什么是schema
LDAP中，schema用来指定一个目录中所包含的object的类型(objectClass) 以及每个objectClass中的各个必备mandatory和可选optional 的属性。因此，schema是一个
数据模型，它被用来决定数据怎么被存储，被跟踪的数据时什么类型。存储在不同的entry下的数据之间的关系。schema需要在主配置文件slapd.conf中指定
以用来决定目录中使用到的objectClass。管理员可以自己制定schema.一般包括属性定义AttributeDefinition、类定义ClassDefinition以及语法定义SyntaxDefinition
等部分。

七、对象标示符(Object identifiers)
对象标示符(OID) 是被ldap内部数据库应用的数字标识。Attribute的名字是设计为方便人们读取的。但为了方便计算机的处理。通常使用一组数字来标识这些对象。
这类同于SNMP中的MIB2.例如，当计算机接收到dc这个Attribute时。它会将这个名字转换为对应的OID: 1.2.4.2.234.22.3.4.2

八、使用LDAP做身份验证
验证主要使用确定一次会主中客户端用户使用的权利。即使用确定用户能登陆以及登陆具有使用哪些资源以及如何使用资源的权限。验证过程中的修改，查询等操作由认证级别
来控制。objectClass中的person可以用来做linux系统登陆的身份认证。此时需要制定userPassword的属性值。即指定用户登陆时用的密码