LDAP 轻型目录访问协议 概述

Question

LDAP 条目数据结构

条目（entry）

条目由多个属性组成，属性包含了条目的数据。条目都有一个名称，叫DN。如果使用数据库，属性就像一条数据库记录的字段。

DN（distinguished name）

DN 是条目的唯一标识，是由逗号分隔的多个 RDN 组成的字符串。通过 DN 的层次型语法结构，可以方便地表示出条目在 LDAP 树中的位置，通常用于检索。

RDN（relative distinguished name）

一个RDN是由一个或多个属性名称/值对组合。例如，cn=Jay Sekora可以是一个RDN(cn代表"通用名称common name")。属性名是cn，值是Jay Sekora。

目录信息树（DIT）

一个 LDAP 目录是一个由数据条目组成的树形结构，称为 DIT。

Base DN LDAP 目录树的最顶部就是根，也就是所谓的 Base DN。

Schema 对象类（ObjectClass）、属性类型（AttributeType）、语法（Syntax）分别约定了条目、属性、值。所以这些构成了模式（Schema）——对象类的集合。条目数据在导入时通常需要接受模式检查，它确保了目录中所有的条目数据结构都是一致的。

LDIF LDIF（LDAP Data Interchange Format，数据交换格式）是 LDAP 数据库信息的一种文本格式，用于数据的导入导出。

遍历树形去生成一个DN：

上图中左边树形的 DN 是：

cn=Robert Smith, l=main campus, ou=CCS, o=Hogwarts School, c=US

右边树形的 DN 是：

uid=rsmith, ou=system, ou=people, dc=ccs, dc=hogwarts, dc=edu

常见属性 Attribute 的解释

• c：国家。
• cn：common name，指一个对象的名字。如果指人，需要使用其全名。
• dc：domain Component，常用来指一个域名的一部分。如 imaicloud.com 这个域名可以分解为 dc=imaicloud，dc=com。
• givenName：指一个人的名字，不能用来指姓。
• l：location? 指一个地名，如一个城市或者其他地理区域的名字。
• mail：电子信箱地址。
• o：organizationName，指一个组织的名字。
• ou：organizationalUnitName，指一个组织下级单元的名字，即组织下的部门。
• sn：surname，指一个人的姓。
• telephoneNumber：电话号码，应该带有所在的国家的代码。
• uid：userid，通常指某个用户的登录名，与 Linux 系统中用户的 uid 不同。

既然 LDAP 用于表示用户，则用户 DN 可以由域名、组织、用户名三大部分组成，即一到几个 DC，o 或 ou，cn。