LDAP (三)

一个LDAP单个条目的例子
LDAP复制
安全和访问控制

一个LDAP单个条目的例子

 

让我们看看下面这个例子。我们用Foobar, Inc.的员工Fran Smith的LDAP记录。该条目的格式是LDIF,用来导入和导出LDAP目录的条目。

dn: uid=fsmith, ou=employees, dc=foobar, dc=com
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
objectclass: foobarPerson
uid: fsmith
givenname: Fran
sn: Smith
cn: Fran Smith
cn: Frances Smith
telephonenumber: 510-555-1234
roomnumber: 122G
o: Foobar, Inc.
mailRoutingAddress: fsmith@foobar.com
mailhost: mail.foobar.com
userpassword: {crypt}3x1231v76T89N
uidnumber: 1234
gidnumber: 1200
homedirectory: /home/fsmith
loginshell: /usr/local/bin/bash

属性的值在保存的时候是保留大小写的,但是在默认情况下搜索的时候是不区分大小写的。某些特殊的属性(例如,password)在搜索的时候需要区分大小写。

让我们一点儿一点儿地分析上面的记录项。

dn: uid=fsmith, ou=employees, dc=foobar, dc=com

这是Fran的LDAP条目的完整DN,包括在目录树中的完整路径。LDAP(和X.500)使用uid来表示“User ID”,不要把它和UNIX的uid号混淆了。

objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
objectclass: foobarPerson

可以为任何一个对象根据需要分配多个对象类。person对象类要求cn(common name)和sn(surname)这两个域不能为空。person对象类允许有其它的可选域,包括givenname、telephonenumber等等。对象类organizational Person给person加入更多的可选域,inetOrgPerson又加入更多的可选域(包括电子邮件信息)。最后,foobarPerson是为Foobar定制的对象类,该对象类加入了所有需要的定制属性。

uid: fsmith
givenname: Fran
sn: Smith
cn: Fran Smith
cn: Frances Smith
telephonenumber: 510-555-1234
roomnumber: 122G
o: Foobar, Inc.

以前说过了,uid表示User ID。当看到uid的时候,就在脑袋里想一想“login”。

请注意CN有多个值。就象上面介绍的,LDAP允许某些属性有多个值。为什么允许有多个值呢?假定你在用公司的LDAP服务器查找Fran的电话号码。你可能只知道她的名字叫Fran,但是对人力资源处的人来说她的正式名字叫做Frances。因为保存了她的两个名字,所以用任何一个名字检索都可以找到Fran的电话号码、电子邮件和办公房间号,等等。

mailRoutingAddress: fsmith@foobar.com
mailhost: mail.foobar.com

就象现在大多数的公司都上网了,Foobar使用Sendmail发送邮件和处理外部邮件路由信息。Foobar把所有用户的邮件信息都存在LDAP中。最新版本的Sendmail支持这项功能。

userpassword: {crypt}3x1231v76T89N
uidnumber: 1234
gidnumber: 1200
gecos: Frances Smith
homedirectory: /home/fsmith
loginshell: /usr/local/bin/bash

注意,Foobar的系统管理员把所有用户的口令映射信息也都存在LDAP中。FoobarPerson类型的对象具有这种能力。再注意一下,用户口令是用UNIX的口令加密格式存储的。UNIX的uid在这里为uidnumber。提醒你一下,关于如何在LDAP中保存NIS信息,有完整的一份RFC。在以后的文章中我会谈一谈NIS的集成。

LDAP复制

 

LDAP服务器可以使用基于“推”或者“拉”的技术,用简单或基于安全证书的安全验证,复制一部分或者所有的数据。

例如,Foobar有一个“公用的”LDAP服务器,地址为ldap.foobar.com,端口为389。Netscape Communicator的电子邮件查询功能、UNIX的“ph”命令要用到这个服务器,用户也可以在任何地方查询这个服务器上的员工和客户联系信息。公司的主LDAP服务器运行在相同的计算机上,不过端口号是1389。

你可能即不想让员工查询资产管理或食谱的信息,又不想让信息技术人员看到整个公司的LDAP目录。为了解决这个问题,Foobar有选择地把子目录树从主LDAP服务器复制到“公用”LDAP服务器上,不复制需要隐藏的信息。为了保持数据始终是最新的,主目录服务器被设置成即时“推”同步。这些种方法主要是为了方便,而不是安全,因为如果有权限的用户想查询所有的数据,可以用另一个LDAP端口。

假定Foobar需要通过从奥克兰到欧洲的低带宽连接,用LDAP来管理客户联系信息。这时,他们可以建立从ldap.foobar.com:1389到munich-ldap.foobar.com:389的复制,象下面这样:

periodic pull: ou=asia,ou=customers,o=sendmail.com
periodic pull: ou=us,ou=customers,o=sendmail.com
immediate push: ou=europe,ou=customers,o=sendmail.com

“拉”连接每15分钟同步一次,在上面假定的情况下足够了。“推”连接保证任何欧洲的联系信息发生变化时就立即被“推”到Munich。

用上面的复制模式,用户为了访问数据需要连接到哪一台服务器呢?在Munich的用户可以简单地连接到本地服务器。如果他们改变了数据,本地的LDAP服务器就会把这些变化传到主LDAP服务器。然后,主LDAP服务器把这些变化“推”回本地的“公用”LDAP服务器保持数据的同步。这对本地的用户有很大的好处,因为所有的查询(大多数是读)都在本地的服务器上进行,速度非常快。当需要改变信息的时候,最终用户不需要重新配置客户端的软件,因为LDAP目录服务器为他们完成了所有的数据交换工作。

安全和访问控制

 

LDAP提供了访问控制实例(access control instances)或者ACI的复杂层次。因这些访问可以在服务器端控制,这比用客户端的软件保证数据的安全可安全得多。

用LDAP的ACI,可以完成:

  • 给予用户改变他们自己的电话号码和家庭地址的权限,但是限制他们对其它数据(如,职务名称,经理的登录名,等等)只有“只读”权限。
  • 给予“HR-admins”组中的所有人可以更改任何用户的下列属性域的值的权限:经理、工作名称、员工号、部门名称和部门号。但是对其它域没有写权限。
  • 禁止任何人查询LDAP服务器上的用户口令,但是可以允许用户改变他或她自己的口令。
  • 给予经理访问他们上级的家庭电话的只读权限,但是禁止其他人有这个权限。
  • 给予“host-admins”组中的任何人创建、删除和编辑所有保存在LDAP服务器中所有与计算机主机有关的信息。
  • 通过Web,允许“foobar-sales”组中的成员有选择地给予或禁止他们自己读取一部分客户联系数据的读权限。这将允许他们把客户联系信息下载到本地的笔记本电脑或个人数字助理(PDA)上。(如果销售人员的软件都支持LDAP,这将非常有用)
  • 通过Web,允许任何组的所有者删除或添加他们拥有的组的成员。例如:可以允许销售经理给予或禁止销售人员改变Web页的权限。也可以允许邮件别名(mail aliase)的所有者不经过IT技术人员就直接删除或添加用户。“公用”的邮件列表能够允许用户向邮件别名中添加或从邮件别名中删除自己(但是只能是自己)。也可以对IP地址或主机名加以限制。例如,某些属性域只允许IP地址以192.168.200.*开头的用户有读的权限,或者用户反向查找DNS得到的主机名必须为*.foobar.com。

这不过是让你了解一下可以对LDAP目录进行怎样的访问控制,实际上真正实现起来需要做的工作比这多得多。在以后的文章中我会详细地讨论访问控制。

 

http://www.cnblogs.com/mengfan/archive/2004/10/13/51565.html

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注