博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
ldap协议
阅读量:5925 次
发布时间:2019-06-19

本文共 8090 字,大约阅读时间需要 26 分钟。

前段时间一直在做LDAP+POSTFIX相关项目,先把关于LDAP的一些经验写出来,一来可能会帮助一些人,二来对我自己所学知识也是一个巩固。)

先声明:我写的只是我对LDAP的一些理解,如果我的理解错误,那就是对兄弟们的误导。所以你可以直接看文章的结尾提供的几个网址。
关于LDAP的概念随便网上有很多,我不想重复,这里只是说一下我自己的理解。
都说它是“轻量级目录协议”,太专业,我不懂,我只把它想象成“简单”的目录协议。
几个很重要的概念,以后会用到:
---------------------------------------------
dn :一条记录的位置
dc :一条记录所属区域
ou :一条记录所属组织
cn/uid:一条记录的名字/ID
---------------------------------------------
实际上更多时候我只把它看成数据库。我把它和我非常熟悉的MYSQL数据库做比较,通常会得到更好的理解:
MYSQL用“表”储存数据,LDAP用“树”
MYSQL指定一条记录要3个条件:DB、TABLE、ROW。
LDAP却更自由,为什么呢?因为LDAP数据是“树”状的,而且这棵树是可以无限延伸的,假设你要树上的一个苹果(一条记录),你怎么告诉园丁它的位置呢?当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou,呵呵MYSQL里面好象没有这DD),最后就是这个苹果的名字(uid,记得我们设计MYSQL或其它数据库表时,通常为了方便管理而加上一个‘id’字段吗?)。 好了!这时我们可以清晰的指明这个苹果的位置了,就是那棵“歪脖树”的东边那个分叉上的靠西边那个分叉的再靠北边的分叉上的半红半绿的……,晕了!你直接爬上去吧!我还是说说LDAP里要怎么定义一个字段的位置吧,树(dc=waibo,dc=com),分叉(ou=bei,ou=xi,ou=dong),苹果(cn=honglv),好了!位置出来了:
dn:cn=honglv,ou=bei,ou=xi,ou=dong,dc=waibo,dc=com
一个有名的画家说过:“世上没有相同的2个鸡蛋”。当然也没有相同的2个苹果……,同样,在LDAP里也不可能存在2个相同的dn。
LDAP数据填充原理:
一棵树的生长,要循序渐进,如果还没有长出某个分叉,就不可能在那个分叉里长出苹果(问:FT!苹果是长在分叉上的吗?答:为了便于理解,你就当它是吧),同样,LDAP数据库也要一步步的充实,举一个学校数据库的例子,我们将要把一个庞大的学生档案放到LDAP里,大致需要这么做:
---------------------------------------------
1、建立“树根”,这是通过修改“slapd.conf”来实现的,由于现在的目的是理解,所以具体步骤就不说了,反正就是在这一步建立了一个“dc=ourschool,dc=org”这样一个“树根”。 注意:我把它理解成“目录”,或者“容器”,甚至它本身也是文件(苹果)的特殊形式,熟悉LINUX文件系统的朋友会更容易理解。
2、建立18个系,分别是“dn:ou=computer,dc=ourschool,dc=org”、“dn:ou=film,dc=ourschool,dc=org”……
3、当然是在每个系里面建立专业,比如“dn:ou=linux,ou=computer,dc=ourschool,dc=org”……
4、(开始长苹果吧!)加学生喽——“dn:cn=stan,ou=linux,ou=computer,dc=ourschool,dc=org”……
5、已经完成了吗?对了!学生的详细信息还没有呐!不过先这样吧,反正记录是可以编辑的。
---------------------------------------------

 

 

 

(Lightweight Directory Access Protocol)的意思是"轻量级目录访问协议",是一个用于访问"目录服务器"(Directory Servers)的协议。这里所谓的"目录"是指一种按照树状结构存储信息的。这个概念和硬盘上的目录结构类似,不过LDAP的"根目录"必须是"The world",并且其一级子目录必须是"countries"。二级目录通常包含有公司(companies)、组织(organisations)、地点(places)等等……相应的三级子目录通常会包含人员(people)、设备(equipment)、文档(documents)等等……

当你引用硬盘上的文件时,通常是这样的:

/usr/local/myapp/docs
正斜杠(/)在这里表示级别分界线,并且从左向右阅读。

 

而在LDAP中则通过"distinguished name"(简称"dn")来表示文件,通常像下面这样:

cn=John Smith,ou=Accounts,o=My Company,c=US
逗号(,)在这里表示级别分界线,并且从右向左阅读。上述dn可以理解为:
country = US   organization = My Company   organizationalUnit = Accounts   commonName = John Smith
术语对比:
dn,entry	目录/文件attribute	属性value		值
与硬盘目录一样,目录服务器上的目录结构也没有任何限制,这就意味着你必须了解一些服务器的结构信息才能写程序。

 

更多关于LDAP的信息可以在下面两个URL找到:

安装与配置

默认并不启用LDAP支持,的LDAP模块依赖于或提供的客户端LDAP库,你必须在编译的时候使用 --with-ldap[=DIR] 才行,如果你想要SASL支持,那还必须使用 --with-ldap-sasl[=DIR] 选项,而且你的系统中必须有 sasl.h 头文件才行。

LDAP模块的行为受下面的配置指令的影响

指令 数据类型 作用域 默认值 解释
ldap.max_links 整数 PHP_INI_SYSTEM -1 每进程允许的最大LDAP连接数。"-1"表示无限制。

编程步骤

在进行LDAP编程之前,你必须知道目录服务器的下列信息:

  • 服务器的IP地址(主机名)以及端口号
  • 服务器的"base dn"(也就是"the world"目录下的子目录,比如:"o=My Company,c=US")
  • 访问服务器的用户名(RDN)和密码(许多服务器允许"匿名绑定"来读取信息,但是其他操作必须有密码才行)

一般的LDAP编程步骤如下:

  1. ldap_connect() // 连接到LDAP服务器
  2. ldap_bind() // 匿名登陆或者认证登陆
  3. 做一些操作,比如读取、添加、删除等...
  4. ldap_unbind() // 关闭连接

LDAP常用函数简介

resource ldap_connect ([ string hostname=NULL[,inthostname=NULL[,intport = 389 ]] )

使用指定的主机名(hostname)(hostname)和端口(port)连接到LDAP服务器。

$hostname
主机名,如果服务器端是 OpenLDAP 2.x.x 或更高版本,那么还可以使用 ldap://hostname/ 格式(URL格式)。
要使用SSL连接,那么必须确保OpenLDAP和PHP都带有SSL支持,并使用 ldaps://hostname/ 的格式。
如果使用空格分隔的主机名列表(比如"192.168.0.100:389 192.168.0.101"),那么此函数将依次尝试直到连接成功为止。
$port
连接的端口(默认为389)。在使用URL格式的时候不需要使用此参数,直接在URL里面指明即可(ldap://hostname:port/)。

连接成功则返回一个LDAP连接标识符,连接失败则返回 FALSE 。

如果服务器端是 OpenLDAP 2.x.x 或更高版本,那么此函数将始终返回一个LDAP连接标识符,而永远不会失败。实际的连接动作将在接下来调用 ldap_* 函数[通常是ldap_bind()]时执行。
如果不带任何参数调用此函数,则返回上一次连接已经打开的连接标识符。

bool ldap_bind ( resource linkidentifier[,stringlinkidentifier[,stringbind_rdn = NULL [, string $bind_password = NULL ]] )

使用指定的RDN(bindrdn)(bindrdn)和密码(bind_password)绑定到LDAP目录。

$link_identifier
ldap_connect()函数返回的LDAP连接标识符
bindrdnbindrdnbind_password
绑定时使用的RDN(Relative Distinguished Name)和密码。如果未指定则使用匿名认证。

绑定成功返回 TRUE 否则返回 FALSE 。

string ldap_error ( resource $link_identifier )

检索LDAP操作的错误信息。

$link_identifier
ldap_connect()函数返回的LDAP连接标识符

返回指定的连接标识符上最近一次LDAP操作的错误信息。

bool ldap_get_option ( resource linkidentifier,intlinkidentifier,intoption , mixed &retval)boolldapsetoption(resourceretval)boolldapsetoption(resourcelink_identifier , int option,mixedoption,mixednewval )

获取/设置LDAP选项的值。

$link_identifier
ldap_connect()函数返回的LDAP连接标识符
$option
LDAP选项名称,主要的选项及其数据类型如下:
LDAP_OPT_DEREF(int)
搜索的时候如何处理别名,取值范围如下:LDAP_DEREF_NEVER(0,默认值), LDAP_DEREF_SEARCHING(1), LDAP_DEREF_FINDING(2), LDAP_DEREF_ALWAYS(3)
LDAP_OPT_NETWORK_TIMEOUT(int)
网络超时秒数,LDAP_NO_LIMIT(0,默认值)表示永不超时。
LDAP_OPT_PROTOCOL_VERSION(int)
指定使用的LDAP协议版本,取值范围如下:LDAP_VERSION2(2,默认值), LDAP_VERSION3 (3)。
LDAP_OPT_REFERRALS(bool)
LDAP库是否自动追随LDAP服务器返回的引用,取值范围如下:TRUE(1,默认值), FALSE(0)。
&$retval
接受选项值的变量
$newval
选项的新值

获取/设置成功返回 TRUE 否则返回 FALSE 。

bool ldap_add ( resource linkidentifier,stringlinkidentifier,stringdn , array entry)boolldapdelete(resourceentry)boolldapdelete(resourcelink_identifier , string $dn )

在LDAP目录中添加/删除一个项。

$link_identifier
ldap_connect()函数返回的LDAP连接标识符
$dn
将要添加/删除的项目名称(distinguished name)。
$entry
指定新项内容的关联数组(attribute=>value)。如果value也是一个数组,那么必须是从0开始的索引数组。例如:
$entry["bool"]='TRUE';$entry["int"]='-3';$entry["mail"]='jonj@example.com';$entree["tel"][0] = "2222222";$entree["tel"][1] = "4444444";

添加/删除成功返回 TRUE 否则返回 FALSE 。

mixed ldap_compare ( resource linkidentifier,stringlinkidentifier,stringdn , string attribute,stringattribute,stringvalue )

检查LDAP目录项dndn的attribute属性值与给定的$value是否相同。注意:不能用来比较二进制数据!

$link_identifier
ldap_connect()函数返回的LDAP连接标识符
$dn
LDAP项的名称(distinguished name)
$attribute
属性名
$value
给定的值

相同返回 TRUE ,不同返回 FALSE ,遇见错误返回 -1

resource ldap_read ( resource linkidentifier,stringlinkidentifier,stringbase_dn , string filter[,arrayfilter[,arrayattributes [, int attrsonly[,intattrsonly[,intsizelimit [, inttimelimit[,inttimelimit[,intderef ]]]]] )
resource ldap_list ( resource linkidentifier,stringlinkidentifier,stringbase_dn , string filter[,arrayfilter[,arrayattributes [, int attrsonly[,intattrsonly[,intsizelimit [, int timelimit[,inttimelimit[,intderef ]]]]] )
resource ldap_search ( resource linkidentifier,stringlinkidentifier,stringbase_dn , string filter[,arrayfilter[,arrayattributes [, int attrsonly[,intattrsonly[,intsizelimit [, int timelimit[,inttimelimit[,intderef ]]]]] )

使用指定的过滤器搜索LDAP目录。三个函数的不同之处在于搜索范围不同:

read仅搜索basedn(LDAPSCOPEBASE)(entry)listbasedn本身(LDAPSCOPEBASE),相当于从目录中读取一个条目(entry)。list仅搜索base_dn的下一级对象(LDAP_SCOPE_ONELEVEL),不包含本身,相当于"ls"命令。
search搜索$base_dn本身及其所有子对象(LDAP_SCOPE_SUBTREE),相当于搜索整个目录树。

$link_identifier
ldap_connect()函数返回的LDAP连接标识符
$base_dn
将要被搜索的目录的DN
$filter
搜索过滤器。比如"(objectClass=*)"表示搜索所有条目(对于read函数则表示所有属性)。
其语法规则在 中描述,例如:"(|(sn=
person)(givenname=person∗)(givenname=person*))"
$attributes
需要检索的属性名称数组,比如:array("mail", "sn", "cn")。
注意:不管有没有指定,"dn"属性的值总会被返回。
如果不指定此参数,那么将返回所有的属性值。
$attrsonly
默认值"0"表示同时获取属性的类型(attribute type)和属性的值(attribute value)。
非默认值"1"表示仅获取属性的类型(attribute type)。
$sizelimit
限定最多返回多少条记录。默认值"0"表示没有限制。注意:这个参数不能超越服务器的限制。
$timelimit
限定搜索操作最大允许进行多少秒。默认值"0"表示没有限制。注意:这个参数不能超越服务器的限制。
$deref
指定搜索的时候如何处理别名。取值范围如下:
LDAP_DEREF_NEVER(默认)
在搜索中或者查找那基础对象时做不复引用别名
LDAP_DEREF_SEARCHING
在基础对象的附属的搜索中而不是查找那基础对象时做复引用别名
LDAP_DEREF_FINDING
在基础对象而不是其附属的搜索中做复引用别名
LDAP_DEREF_ALWAYS
在搜索中或者查找那基础对象时做都复引用别名

成功返回一个结果集的资源描述符,通常被其他函数以$result_identifier引用,失败返回FALSE

array ldap_get_entries ( resource linkidentifier,resourcelinkidentifier,resourceresult_identifier )

返回前一次搜索操作的结果集,包括每一项的属性和属性值。

$link_identifier
ldap_connect()函数返回的LDAP连接标识符
$result_identifier
ldap_read/ldap_list/ldap_search函数返回的结果集的资源描述符。

成功返回一个包含结果集的多维数组,失败返回FALSE。

注意:结果集数组的属性索引将被转换成小写字母(对于LDAP来说属性是大小写无关的)。
结果集数组的结构如下所示:

return_value["count"] = 结果集中的条目总数(包含第零项)return_value[0] : 对结果集中第零项(一般不同于后面的常规项)的详细信息的引用return_value[i]["dn"] =  结果集中第 i 个条目的 DNreturn_value[i]["count"] = 结果集中第 i 个条目的属性数量return_value[i][j] = 结果集中第 i 个条目的第 j 个属性return_value[i]["attribute"]["count"] = 结果集中第 i 个条目的"attribute"属性的值的数量return_value[i]["attribute"][j] = 结果集中第 i 个条目的"attribute"属性的第 j 个值

 

bool ldap_unbind ( resource $link_identifier )

解除绑定,也就是关闭LDAP连接。

$link_identifier
ldap_connect()函数返回的LDAP连接标识符

成功返回 TRUE 否则返回 FALSE 。

 本文转自二郎三郎博客园博客,原文链接:http://www.cnblogs.com/haore147/p/7172184.html,如需转载请自行联系原作者
你可能感兴趣的文章
bzoj3811 玛里苟斯
查看>>
linux kill
查看>>
【转载】https连接的前几毫秒发生了什么
查看>>
git config 的全局配置
查看>>
C++代码风格
查看>>
[转载]MySQL索引原理与慢查询优化
查看>>
转:SQL 日期时间格式转换
查看>>
1、设计模式-相关概念
查看>>
C# Interface显式实现和隐式实现
查看>>
二级域名和一级域名的区别
查看>>
Flask 源码流程,上下文管理
查看>>
c语言32个关键字
查看>>
多线程-并发基础
查看>>
[工具类]泛型集合转换为DataTable
查看>>
Linux下的rename命令
查看>>
吃在青岛--百年老街劈柴院
查看>>
Java Web 基础(一) 基于TCP的Socket网络编程
查看>>
GridView之CommandField的妙用——点击提示删除
查看>>
nil、Nil、NULL、NSNull的区别
查看>>
面向对象初体验-计算器
查看>>