（通信与信息系统专业论文）ldap集成dhcp组件的研究.pdf

中文摘要 随着i n t e r n e t 的发展。i p 地址的管理变得日趋困难。d h c p 作为一种动 态分配i p 地址的手段，解决了静态分配i p 地址的复杂性和i p 资源的同益缺 乏性，大大减轻了管理员的负担。虽然d h c p 具有诸多优点，但是仍然存在 某些缺陷。首先，对d h c p 服务器的配置较为复杂，尤其是一个网内存在多 个d h c p 服务器时，配置任务量不仅繁重，而且容易出错，造成i p 地址分配 重叠。其次，现有的d h c p 协议并没有提供认证机制，造成了i p 地址分配的 随意性，给刚络安全带来隐患。针对d h c p 存在的缺陷，l d a p ( 轻量级目 录存取协议) 提供了良好的解决方案。将d h c p 组件集成到l d a p 目录里， 则是该方案的内容。本论文正是围绕l d a p 集成d h c p 组件的设计和实现展 丌的，主要内容如下： 首先，介绍了l d a p 的概念和原理。在概念里，主要强调了l d a p 与一 般数据库的区别以及目录与协议的区别，用较少的篇幅深刻地揭示了l d a p 的特点。在原理方面，通过对l d a p 的四个模型和安全机制的分析，深入全 面地描述了l d a p 的体系结构。 其次，介绍了d e n ( 活动目录网络) 和d h c p 的原理。通过对d e n 的 介绍，定位了课题研究的具体领域。在d h c p 的原理中，主要讲述了d h c p 的几种消息的工作过程，从而为l d a p 集成d h c p 组件的设计提供了物理基 础。 最后，提出了l d a p 集成d h c p 组件的设计方案和实现方法及结果。 l d a p 集成d h c p 组件体现在将d h c p 的参数( i p 地址池，默认网关，d n s 等) 定义成l d a p 中的对象级和属性方案。本论文的创新点在于对l d a p 集 成d h c p 组件的对象级的容器关系的确定和对用户认证的对象级和属性的提 出。本论文提出的对象级的容器关系可以更加灵活、方便、完整地将d h c p 参数定义成l d a p 属性。用户认证方案的提出克服了d h c p 服务器不能对用 户认证的缺点。l d a p 集成d h c p 组件的性能测试是通过使用l d a p 性能基 准测试软件d i r e c t o r y m a r k 测试本论文提出的l d a p 集成d h c p 组件的对象 级和属性所形成的l d a p 数据库来完成的。各项测试指标表明本方案是完全 可行的。 关键词：l d a p ，d h c p 对象级，属性，目录服务 a b s t r a c t w i t ht h e d e v e l o p m e n to fi n t e r n e t ，m a n a g e m e n to fi p a d d r e s sb e c o m e sm o r e a n dm o r ed i f f i c u l t a sam e t h o do f a l l o c a t i n g a d d r e s s d y n a m i c a l l y ，d h c p o v e r c o m e s c o m p l e x i t y o fa l l o c a t i n ga d d r e s s s t a t i c a l l y a n d s c a r c i t y o fa d d r e s s r e s o u r c e ，r e d u c i n gb u r d e no fn e t w o r km a n a g e rt o ag r e a te x t e n t a l t h o u g hd h c p p r o v i d e s u s m a n ya d v a n t a g e s ，t h e r e a r es o m e d i s a d v a n t a g e s i n i t f i r s t ， c o n f i g u r a t i o no fd h c p s e r v e ri sac o m p l e xt h i n g ，w h i c hi sn o to n l yh e a v yb u ta l s o f a l l i b l ea n dl e a dt o o v e r l a po fa l l o c a t e da d d r e s so f t e n ，e s p e c i a l l yw h e nan e t w o r k i n c l u d i n gm o r et h a no n es e r v e r s e c o n d l y ，a v a i l a b l ed h c pp r o t o c o l sd o n tp r o v i d e a u t h e n t i c a t i o nm e c h a n i s ma n dl e a dt of r e e d o mo fa l l o c a t i o no f a d d r e s s ，w h i c hb r i n g a b o u td i f f i c u l t yo fn e t w o r km a n a g e m e n ta n di n f l u e n c es e c u r i t yo fn e t w o r k l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) p r o v i d e saw a yf o rd e a l i n gw i t hs h o r t a g e o fd h c p i n t e g r a t i n gd h c pi n t ol d a pi sag o o ds o l u t i o nf o rt h ep r o b l e m t h e m a i nc o n t e n ti sf o l l o w i n g ： f i r s t ，t h ec o n c e p t a n d p r i n c i p l e a b o u tl d a pi si n t r o d u c e d d i f f e r e n c e s b e t w e e nl d a pa n dc o m m o nd a t a b a s ea r e e m p h a s i z e d i no r d e rt od e s c r i b e c h a r a c t e r i s t i co fl d a p ，a r ed i f f e r e n c e sb e t w e e n d i r e c t o r y a n d p r o t o c o l e m p h a s i z e d f o u r m o d e la n d s e c u r i t y m e c h a n i s ma r eu s et od e s c r i b el d a p a r c h i t e c t u r ed e e p l ya n d r o u n d l y s e c o n d ，t h ep r i n c i p l eo fd e n ( d i r e c t o r ye n a b l e dn e t w o r k ) ，w h i c hs p e c i f yt h e p o s i t i o no f t h ep a p e r s s t u d y ，a n dd h c p a r ei n t r o d u c e d d e s c r i p t i o no fw o r k f l o w a b o u td h c p m e s s a g ep r o v i d e sp h y s i c sf o u n d a t i o nf o rt h ef u t u r ed e s i g n t h i r d ，t h es c h e m eo fd e s i g na n dt h er e s u l to fi m p l e m e n ta r e p r e s e n t e d i n t e g r a t i n gd h c p i n t ol d a pi si m p l e m e n t e dt h r o u g hd e f i n i n gas c h e m eo f o b j e c t c l a s s e sa n da t t r i b u t e so fl d a pf o rp a r a m e t e ro fd h c p , s u c ha s i p a d d r e s sp o o l ， d e f a u l tg a t e w a y ，d n s ，e t c t h ei n n o v a t i o no ft h et h e s i si sd e f n i t i o na b o u tr e l a t i o n o fo b j e c tc l a s s sc o n t a i n e r sa n da t t r i b u t e so fc l i e n ta u t h e n t i c a t i o n t h et e s to f p e r f o r m a n c ea b o u tt h ed e s i g ni si m p l e m e n t e dt h r o u g ht e s t i n gl d a pd a t a b a s ew h i c h i sc o n s t r u c t e db yt h es c h e m eo fo b j e c tc l a s s e sa n da t t r i b u t e sp r e s e n t e di nt h ep a p e r w i t hd i r e c t o r ym a r kt h a ti sas o f t w a r eu s e dt ol d a p sp e r f o r m a n c e t h et e s t e d r e s u l ts h o w st l m tt h es c h e m ei sf u l l yf e a s i b l e k e yw o r d s ：l d a p ，d h c p ，o b j e c tc l a s s ，a t t r i b u t e ，a n dd i r e c t o r ys e r v i c e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得盘壅表茔或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名目譬害签字吼。弓年，月9 日 学位论文版权使用授权书 本学位论文作者完全了解墨洼盘壁有关保留、使用学位论文的规定。 特授权墨壅盘壁可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：闷哆壶 、jo 。、殄 签字日期：p ；年月夕日 导师签名 签字日期吗年月 第一章绪纶 第一章绪纶 当今是计算机技术高速发展的时代，各种计算机应用技术和网络技术层 出不穷，给社会生活的各个领域带来了目新月异的变化。同时在科技发展、 经济增长以及人们的日常生活中扮演着越来越重要的角色。需要指出的是计 算机技术能发展到今天不是某种单一技术发展的结果，而是多种技术共同发 展所造成的。也就是说多种计算机操作系统，多种计算机网络技术相互促进 发展才使计算机时代丰富多彩。虽然多种计算机技术共同创造了一些通用的 应用程序和网络技术，但是它们又彼此相互独立地发展着，多个厂家都有自 己的专有产品。于是，给我们带来了一个问题：网络管理人员如何管理具有 多种应用程序和网络设备的计算机网络呢? 现在，许多计算机网络往往是由不同的网络设备，不同的操作系统和应用 程序所组成的。每一种网络设备采用的是自己专用的配置文件和配置命令 每一种操作系统和应用程序则以自己专用的格式存储了网络信息。这种情形 给网络管理人员带来管理复杂的难题。对这些难题的解决办法就是要求网络 管理人员在熟悉各种技术的前提下，分别对每种设备单独维护。网络管理人 员试图通过集中的数据库对网络中的信息和资源进行维护是不可能的。上述 情形除了造成网络设备维护困难之外，用户也必须承受为获取不同的信息和 资源使用不同应用程序带来的不便。一方面，这大大增加了用户的负担，另 一方面，也使得资源难于共享。所有这些，在一定程度上制约了网络的发展， 因而迫切需要一种新的技术，使它能够以通用的格式和方式对网络信息进行 存取，从而实现网络的共享。 目录服务技术作为一种解决上述难题的手段应运丽生。该技术是种利 用目录数据库来存储各种网络资源信息，实现资源共享的网络服务技术。它 可以命名、描述和指定一个企业范围内的用户和资源，从而简化通信与管理： 它可以使用户通过简单的搜索查找资源及其他用户；它可以帮助管理人员收 集和控制散布与该机构的信息，并可以使他们直观地审视这些信息。 本论文研究的对象l d a p 协议则是当前最流行的目录服务技术，已经开 始广泛地被加以研究和应用在很多领域。为了对l d a p 目录有一个粗浅的了 解，本章主要介绍了课题背景和国内外研究现状，目录的概念和特点，以及 l d a p 的历史和标准。 1 1 课题背景和国内外研究现状 第章绪纶 目录服务最早的研究始于8 0 年代初期。到了1 9 8 8 年，c c i t t 创建了基于 目录服务的x 5 0 0 标准，全面描述了目录服务模型，包括目录服务器的目录 结构、命名方法、搜索机制以及用于客户机与服务器通信的协议d a p ( d i r e c t o r va c c e s sp r o t o c 0 1 ) 。之后，i t u - t 又在1 9 9 3 年作了大量的修改和补充， 产：生了第二版建议，i s 0 接受了此建议，把它作为i s o i e c9 5 9 4 国际标准。 但是，在实际应用过程中，x 5 0 0 存在着不少障碍。由于d a p 应用层的协议 是严格遵照复杂的i s o 七层协议模型制定的，对相关层协议环境要求过多， 在许多小系统上无法使用，t c p i p 协议体系的普及更使这种协议越来越不适 应需要。在这种情况下，d a p 的简化版l d a p 应运而生。随着人们对轻型目录 服务深入的研究和开发，对其价值的认识日趋明朗。现在l d a p 已经发展成 为一个通用的标准的目录协议，广泛地被用在计算机网络中。正因为如此， 本论文把l d a p 做为一个研究和应用的主题。 l d a p 目录服务最早提供的服务是在一个分布式系统为用户提供对某个 用户和可用资源信息的查询。比如，在目录服务器里查找一个用户的姓名， 住址，电话号码，e m a i l 地址。虽然说它在这方面的应用发挥了很大的作用， 但是目录服务的优势却远远没有发挥出来。随着i n t e r n e t 的不断发展，l d a p 目录所存储的内容也在不断地丰富。将网络元素集成进入l d a p 目录则将 l d a p 目录协议的应用推向了一个新的水平。d e n ( 活动目录网络) 就是l d a p 在这一方面应用的成果。作为种利用中央集中控制点来管理网络应用程序 和网络设备的方法，d e n 解决了在运行着多种网络协议的网络里具体设备具 体维护的管理复杂的难题。d e n 从提出到现在，仍处于不断完善发展之中。 本论文研究的对象“l d a p 集成d h c p 的组件的方案4 作为d e n 研究的一 个分支，目前i e t f 对它还没有制定出标准化的方案，所以本论文也是笔者对 d e n 的规范的标准化的一次探索和努力。 目前，i e t f 对“l d a p 集成d h c p 的组件”的研究并没有形成正式的 i h f 文档，只停留在i n t e r n e t d r a f t 的水平上。与它有关的i n t e r n e t d r a f t 主要 包括：y g u ，r v y a g h r a p u r i ，”a n l d a ps c h e m af o r d y n a m i c h o s t c o n f i g u r a t i o n p r o t o c o l s e r v i c e ”：t m i l l e r ，a p a t e l ，p r a o ，”l i g h t w e i g h t d i r e c t o r y a c c e s s p r o t o c o l ( v 3 ) ：s c h e m a f o r d y n a m i c h o s t c o n f i g u r a t i o n p r o t o c o l ( d h c p ) ”；m ，m e r e d i t h ，vn a n j u n d a s w a m y ，m h i n c k l e y ，”l d a p s c h e m af o rd h c p ” 以上三者，出现最早的是t m i l l e r ，a p a t e l ，p r a o ，”l i g h t w e i g h td i r e c t o r y a c c e s sp r o t o c o l ( v 3 ) ：s c h e m af o r d y n a m i c h o s t c o n f i g u r a t i o n p r o t o c o l ( d h c p ) ”，提出的时间是1 9 9 8 年6 月。作者对l d a p 集成d h c p 组件提出了 第一章绪纶 较为详细的对象级和属性方案。但是该方案不够成熟，其中对象级容器之间 关系不够明确和不够完善。在这之后出现的是yg u ，r v y a g h r a p u r i ，的”a n l d a ps c h e m af o rd y n a m i ch o s tc o n f i g u r a t i o np r o t o c o ls e r v i c e ”，作者着重明 确了对象级容器和属性之间关系，整个方案较为成熟，但是没有提出详细的 对象级和属性方案。最近出现的i n t e r n e td r a f t 是m m e r e d i t h ，v n a n j u n d a s w a m y ，m h i n c k l e y ，”l d a ps c h e m af o rd h c p ”，它是一套较为完善 的方案，既有较为详细的对象级和属性方案，又有较为合理的对象级容器关 系。但是整个方案主要遵循d e n 的原则，较为复杂，不灵活 2 - 4 1 。 上述文献的共同缺点是没有提出对d h c p 用户认证的方案，另外也没有 对r f c2 13 2 ”d h c p o p t i o n sa n db 0 0 t p v e n d oe x t e n s i o n s ”中的一些关键选项 做出相应的方案定义。所以本论文的研究重点是以在继承i e t f 提出的d r a f t 优秀成果的基础上，增加d h c p 用户认证和一些d h c p 重要选项的对象级和 属性定义，进一步完善对象级容器之间的关系，提出一套完备的“l d a p 集 成d h c p 的组件的方案”对象级和属性方案。 1 2 目录的概念 目录是一个关于按照某种顺序排列的对象清单，清单里给出了每个对象 的细节。通常的例子就是电话号码簿和图书馆的目录。用计算机的术语来描 述，f j | 录就足专用的数据库，也被称做数据仓库它存储着关于一些对象的 已经被分类和排序的信息。 1 2 1 目录与数据库的区别 目录经常被描述成为数据库，但它所具有的特征使其和一般的数据库又 有较大的区别。目录的一个显著的特征是读大于写，被用来存贮相对静止的 信息并为达到这个目的而进行了优化。在目录里存储那些经常变化的信息是 不合适的。 另一个目录和一般数据库的重要的区别是目录一般不支持交易( 然而， 一些厂商支持) 。交易是一种要么完全完成，要么是根本不完成的操作。当 从一个帐户往另一帐户转移资金的时候，在这次交易中这笔资金首先在一个 帐户上记入借方，在另一个帐户上记入贷方。如果资金在转移过程中交易只 完成了一半，或者某人存取了帐户，那么这个帐户资会的平衡就被打破了。 一般的数据库通常支持这种交易，但实施起来较为复杂。 因为目录主要针对读需求，所以交易的复杂性应当避免。如果两个人交 换办公室，川应的目录项里存储的电话号码、办公地点等等需要更新。如果 第一章绪纶 一个目录项得到了及时的更新，另一个目录项没有得到及时的更新，有一段 时间就会产生两个人使用同一个电话号码情况。但是这对目录是可以接受的。 因为目录的特点是更新相对少，暂时的不一致是允许的。 目录和通常数据库的区别还在于信息存取的方法不同。大多数数据库支 持一种标准的，强有力的存取方法，被称做结构化查询语言( s q l ) 。s q l 以 程序规模大和复杂为代价来支持更新和查询。相反，l d a p 却使用一种简单 而且优化的存取协议，该协议可以被用在规模较小而且相对简单的应用程序 中。 1 2 2 目录客户和服务器 对目录的存耿通常采用客户服务器模型。写信息和读信息的应用程序往 往不直接存取目录而且去调用某个函数或者应用程序设计接口( a p i ) ，产 生一个消息并把它发往另一个进程。该进程则会代表发出请求的应用程序存 取目录中的信息。相反，读和写的结果则被该进程回送给发出请求的应用程 序( 如图1 i 所示) 。 目录客户端发出的请求被目录服务器收到之后，目录服务器启动查询进 程对目录进行搜索以获取客户所需的信息。通常，服务器给客户提供直接的 服务，但有时一个服务器可能变成另一个服务器的客户，其目的是搜集必要 的信息去处理请求。 图1 1 目录客户，服务器的交互过程 a p i 定义了编程接口，特定的编程语言。使用编程接口对服务器进行访问。 在客户和服务器之间交换的消息的格式和内容必须遵守协议所规定的标准。 l d a p 定义了一套客户和服务器之间交互的消息协议及一些c 语言的a p i 、 第一章绪纶 在j a v a 应用程序里存取l d a p 的方法。 1 2 3 分布式目录 目录可以是集中式，也可以是分布式的。集中式通常由一个目录服务器 为用户提供服务，分布式则意味着有多个目录服务器为用户提供服务。 当目录采用分布式时，存储在目录里的信息被分割和复制。当信息被分 割时，目录服务器存储着唯一的和互不重叠的信息子集。当信息被复制时， 同一个目录项被存储在多台服务器上。 存储在目录服务器上信息的多少取决于应用程序的要求。服务器的数量 和其上数据的分割和复制都能被加以控制来提高目录的性能。 目录服务的设计和维护是复杂的，需要仔细权衡利弊”j 。 1 2 4 目录安全 存储在目录里信息的安全性是需要重点考虑的问题。有些目录被用在 i n t e r n e t 上供公众存取，但不是任何一个用户都能执行所有的操作。服务于企 业网的公司目录可以存储在防火墙之后来防止公众对它的存取，但是企业网 内部也需要更安全的存取机制。 目录应该具备实施安全策略的基本能力。虽然本身可能不提供安全性能， 但是可以通过与受信任的网络安全服务集成完成这一功能。网络安全服务可 以提供基本的安全机制，其中一种方法是用户认证机制，必须要求用户名和 口令。一旦用户被认证，他就被授权在某个具体对象上执行所允许的操作。 授权经常是基于存取控制列表( a c l ) 。 1 3 作为基础构架的目录 可以被所有应用程序存取的目录是支持分布式系统的基础构架的至关重 要的一部分。目录服务提供了关于用户、资源和其它对象的单一的逻辑视角， 而这些用户、资源和其它对象则组成了整个分布式系统。 1 3 1 使用目录的应用程序 使用目录的程序通常是为了提高功能性、易用性和管理性的应用程序。 现在很多应用程序充分利用存储在目录中的信息。 但是这类程序的开发者面i 临着共同的问题：目录服务是否可以存在所有 网络环境中。他们采用的目录很可能是针对特定操作系统的专用目录，因而 造成应用程序对目录的存取受限于特定的操作系统。 第一章绪纶 1 3 2 通用目录的优点 特定应用程序的目录仅存储它所需的信息，j 司州不能被别的应用程序存 取。因为具备所有功能的目录服务难以建立，所以特定应用程序的目录所存 储的内容就显然受到限制。它们可能仅能存储特定类型的信息，也可能没有 通常的搜索能力，不支持复制和分割，不支持全套的管理工具。特定应用程 序的目录就象一些可编辑的文本文件那么简单，但是它却被以一种特定的， 专用方式所存取。 通用的日录必须解决以上提及的问题。它必须基于开放的标准，而该标 准必须被多个平台支持。它必须可以被标准的a p i 存取是可扩展的，以便 能够容纳各种应用程序所需的数据类型。它必须在一个较小的系统里不需要 太多的资源就能提供所有的功能。因为越来越多的用户和应用程序将存取和 依靠通用的目录，所有它必须是强健的，安全的，可伸缩的。 l d a p 是存取通常目录的基础架构协议，能够提供强有力的，全功能的 通用目录服务。 1 4l d a p 的历史和标准 1 4 1x 5 0 0 ：目录服务标准 c c i t t 在1 9 8 8 年创建了x 5 0 0 标准，于1 9 9 0 变成了i s o9 5 9 4 ( 数据通 信网络目录，建议x 5 0 0 - x 5 2 1 ) 。虽然新的标准对x ，5 0 0 进行了完善，但是 仍然被称为x 5 0 0 。 x 5 0 0 采用能够支持大容量信息的等级名字空间来组织目录项，具备了 强有力的搜索能力，从而使得对信息的检索更加容易。因为它的功能性和可 伸缩性，x 5 0 0 经常可以附带插件用于不兼容的目录的互操作。 x 5 0 0 是目录用户和目录服务器之间的通信所使用的目录存取协议 ( d a p ) 。然而，作为一个应用层协议，d a p 要求完全的o s l 协议栈参与操 作，因此实现极为复杂且需要占用大量系统资源。正是因为x 5 0 0 这些缺点， l d a p 才应运而生。 1 4 2l d a p ：对x 5 0 0 的轻量级存取 l d a p 是d a p 的轻量级替代品，要求轻量级的和流行的t c p i p 协议栈， 而一i 是o s i 协议栈。l d a p 也简化了x 5 0 0 一些操作并省略了一些复杂的功 能。 l d a p 的两个先驱是i e t f 的两篇r f c 文档，d i r e c t o r y a s s i s t a n c es e r v i c e 第一章绪纶 ( r f c1 2 0 2 ) 和d i x i e p r o t o c o ls p e c i f i c a t i o n ( r f c l 2 4 9 ) 。但它们仅仅是r f c ， 并没有成为标准。目录协助服务( d a s ) 定义了目录用户与存在于o s i 协议主 机上的代理通信的方法。代理能够代表用户发出x 5 0 0 请求。d i x i e 类似d a s ， 但提供了更多的象d a p 一样的中介代理功能。 l d a p 的第一个版本被定义在x 5 0 0 轻量级存取协议( r f c1 4 8 7 ) 里， 后来该协议又被轻量级目录存取协议( r f cl7 7 7 ) 所取代。l d a p 进一步精 简了d a s h , d i x i e 拂议，更易于实施而且减少了用户操作的复杂性，鼓励了 对使用目录的应用程序的开发。 r f c1 7 7 7 定义了l d a p 协议本身。r f c1 7 7 7 和以下协议一起定义了l d a p 的2 版。 t h es t r i n gr e p r e s e n t a t i o no fs t a n d a r da t t r i b u t es y n t a x e s ( r f c 1 7 7 8 l as t r i n gr e p r e s e n t a t i o no f d i s t i n g u i s h e dn a m e s ( r f c 17 7 9 ) a n l d a p ，尺lf o r m a ti r f c19 5 9 ) as t r i n g 尺e p r e s e 门妇f ，o no fl d a ps e a r c hf i l t e r s r f c19 6 0 ) l d a p 的2 版已经达到了在i e t f 标准化进程中的草案标准的状态，距真正 的标准还差一步。许多厂商已经具备了支持l d a p 的2 版的产品，有些还具有 支持部分或全部的l d a p 的3 版的产品。 l d a p 的3 版是被轻量级目录存取协议( v 3 ) ( r f c2 2 5 1 ) 所定义。相关 的l d a p 的3 版的r f c 文档如下： l i g h t w e | g h td i r e c t o r y a c c e s s p r o t o c o l v 3 ：a t t r i b u t es y n t a x d e f i n i t i o n s ( r f c2 2 5 2 ) l i g h t w e i g h td i r e c t o r y a c c e s s p r o t o c o l ( v 3 ：u t f - 8s t r i n g r e p r e s e n t a t i o no fd i s t i n g u i s h e d n a m e s f r f c2 2 5 3 ) t h es t r i n gr e p r e s e n t a t i o no fl d a ps e a r c hf i l t e r s r f c2 2 5 4 ) t h el d a pu r lf o r m a t ( r f c2 2 5 5 as u m m a r yo ft h ex 5 0 0 9 6 ) u s e rs c h e m af o ru s ew i t hl o a p v 3 ( r f c 2 2 5 6 j r f c 2 2 5 l 是一个建议标准。建议标准经常会发生多次较小的修定，但对 建议标准进行分组测试来确定其不足之处则是一个被推荐的方法。在下面的 区域中l d a pv 3 扩展了l d a pv 2 ： 指向：一个不具有客户所请求的数据的服务器能把这个请求指向其它服 务器 安全性：使用简单认证和安全层机制( s a s l ) 来扩展认证。 第一章绪纶 国际化：支持田际字符的u t f - 8 字符格式 扩展性t 新的对象类型和操作都能被动态的定义，方案可以按照标准的 方式公布。 l d a p 油、议只是定义了目录用户和服务器之间的通信协议，并没有定义程 序设计接口。程序设计接口被单独定义在r f c18 2 3 中。r f cl8 2 3 提出了一套 c 语言的a p i ，这些a p i 被应用程序调用存取目录。但是它们仅仅是一个建议 标准，而不是一个正式标准。虽然如此，它却成为了事实上的标准。l d a p 协议的标准化和能在不同平台上使用的a p i 是l d a p 被广泛加以接受的原因。 1 5 协议或者目录 l d a p 定义了服务器与客户之间的通信协议以及存取类x 5 0 0 目录数据的 消息传输方式和格式，但是没有定义目录服务本身。 应用程序的客户端程序通过调用l d a p 的a p i ，发出l d a p 消息。但是x 5 0 0 目录服务器不理解l d a p 消息。事实上，l d a p 客户和x 5 0 0 n 务器甚至使用不 同的通信协议( t c p v so s i ) 。所以l d a p 客户需要通过一个网关与x 5 0 0 目录 服务器通信( 也被称做代理或前端) ，将请求转发至x 5 0 0 目录服务器( 如图 1 2 所示) 。该网关就是l d a p 服务器。它服务于l d a p 客户发出的请求，在功 能上，成为了x 5 0 0 1 务器的客户。l d a p 服务器必须与t c p s d o s i 都能保持通 图1 2 作为x 5 0 0 服务器网关的l d a p 服务器 第一章绪纶 信。 随着对l d a p 的使用的增加和其优点日益明显，l d a p 脱离x 5 0 0 服务器 而独立存在( 如图l - 3 所示) 。因为l d a p 服务器不依赖于x 5 0 0 目录服务器， 所以经常被称做独立的l d a p 服务器( s t a n d a l o n el d a p ) 。它不支持所有的 x 5 0 0 功能，仅支持被l d a p 协议所要求的功能。 r f c17 7 7 ( l d a pv e r s i o n2 ) 讨论了对x 5 0 0 目录的存取，r f c2 2 5 1 ( l d a pv e r s i o n3 ) 讨论了对支持x 5 0 0 模型的目录的存取。在语言上的改变反 映出：l d a p 服务器要么自己实施目录，要么成为一个x 5 0 0 服务器的网关。 从用户的观点看，无论是服务器自己实施目录还是作为一个x 5 0 0 服务 器的网关，任何实施l d a p 协议的服务器都是l d a p h 日务器。无论这个目录被 独立l d a p 服务器实施还是被x ，5 0 0 实旋，任何被存取的目录都被称做l d a p 目录【5 】。 图1 3 独立l d a p 服务器 第二章l d a p 目录服务协议解析 第二章l d a p 目录服务协议解析 l d a p 采用分布式计算机系统的客户服务器模型，摆脱了与x 5 0 0 的依赖 关系，已经发展成为存取x 5 0 0 目录信息的轻量级协议。支持l d a p 协议而不 是x 5 0 0 目录协议的服务器日益增多。与x 5 0 0 相比，l d a p 的成功之处在于它 简单实用的特点： l d a p 运行于t c p i p 基础之上，而不是o s i 协议栈。 l d a p 的功能模型更加简单。 l d a p 使用字符串表达数据，而不是复杂的语法。 2 1l d a p 体系结构综述 l d a p 定义了传递于l d a p 客户和l d a p 服务器之间的消息。该消息指明 了客户所要求的操作( 搜索，调整，删除，等等) ，服务器的响应，以及消息 的数据格式。因为l d a p 里的消息被传送于面向连接的t c p i p 协议之上，存在 建立和断开用户和服务器之间会话的交互操作。 l d a p 客户和l d a p 服务器之间的交互通常采用下面的形式： 客户与l d a p 服务器之间建立会话，被称为绑定。客户需要提供主机 名或i p 地址和端口号。另外，为了便于服务器对它认证，客户还需要 提供用户名和口令。否则，客户只有带着默认存取权限与服务器建立 会话。它们之间也能建立起一个强有力的安全会话，例如，数据加密。 客户操作目录数据。l d a p 提供强大的读和写能力，使得目录信息既 可以被查询也可以被管理，支持任意用户指定的匹配条件下的目录搜 索。搜索在l d a p 里是一个非常通用的操作。用户能够指定目录中的 什么部分被搜索以及什么信息被返回。一个使用布尔条件的搜索过滤 器可以筛选出满足匹配搜索条件的目录数据。 当客户完成了自己要求的操作，它就会关闭与服务器之间的对话。这 被称为解绑定。 虽然应用程序没有被l d a p 协议和其体系结构所定义，但它却有与l d a p 服务器交互的著名的l d a pa p i 。它被认为是对l d a p 体系结构的扩展。虽然c 语言的l d a pa p i 仅是一个i n t e r n e t 文稿，但是由于它受到了所有l d a p 厂商 的支持，己经成为了一个事实上的标准。l d a pa p i 的原则是尽可能地简化操 作，这意味着对现有应用程序加入目录支持将是低开销的。因为最初l d a p 第二章l d a p 目录服务协议解析 是作为存取x 5 0 0 目录的d a p 的轻量级代理，跟从了x 5 0 0 的模型，所以它所 存储的数据也被称做目录项。 目录项通常描述了象人，打印机，服务器等诸如此类的对象。每一个项 有一个被称之为区别名( d n ) 的能标识它的唯名字。d n 包括了被称为相 刈i 近别名( r d n ) 的有序部分，这与u n i x 年 i w i n d o w s 里的带有目录路径的文 件名类似。目录项基于区别名被安排进入。个具有等级的树形目录，布满目 录项的树被称为目录信息树。 目录项包含一个或多个描述该目录项的属性。属性有一个类型和一个值。 例如，人的目录项可以有一个被称做t e l e p h o n n n u m b e r 的属性。该属性值是 电话号码，语法要求是可以包含空格和连字号的字符串( 如：5 1 2 - 5 5 5 1 2 1 2 ) 。 日录项描述了一些对象。每一个对象都属于某个对象级。对象级是对某 一类对象通用的描述，而不是对一个特定对象具体的描述。这种描述有时也 被称为模板。对象级和所属属性都被方案所定义。方案定义了什么对象级被 允许放在目录中的什么地方，什么属性是可选的，以及每一个属性的语法。 l d a 户定义了以下存取和调整目录项的操作： 搜索满足用户指定匹配条件的目录项 增加目录项 删除目录项 调整目录项 调整目录项的区别名或相对区别名 比较目录项 2 2l d a p 模型 信息模型描述了存储于l d a p 目录中的信息结构。 命名模型描述了l d a p 目录里的信息组织方式和识别方式。 功能模型描述了对l d a p 中的信息所采用的操作。 安全模型描述了l d a p 目录的信息如何被保护以防止非授权的存取。 2 2 1 信息模型 存储于目录中的基本信息单元被称为项。项代表了有意义的对象，例如 人，服务器，组织，等等。项包含了多个属性，属性包含了有关对象的信息： 属性类型和个或多个属性值。属性的类型遵循一定的语法。例如，一个项 可以有f a c s i m i l i e t e l e p h o n e n u m b e r 属性，与该属性相关的语法要求其值应是电 话号码，这种电话号码可以被表示成打印字符串，而这些打印字符串后面可 第二章l d a p 目录服务协议解析 以有选择地跟一些描述纸张型号和分辨率的关键字。目录项和属性以及相应 值的关系如图2 1 所示。 表2 1 列出了一些常用属性。一些属性有别名，别名和全属性名可以同时 使用 6 - 7 】。 图2 1 项，属性和值 表2 1 通常的l d a p 属性 属性，别名语法描述例子 c o r n m o n n a m e c nc i sc o m m o nn a m eo fa ne n t r yj o h ns m j t h s u r n a m e s n s u r n a m e ( 1 a s tn a m e ) o fp e r s o n s m i t h t e i e d h o n e n u m b e rt e i t e l e p h o n en u m b e r 51 2 8 3 8 - 6 0 0 8 o r g a n i z a t i o n a i u n i t n a m e ，o u c l sn a m eo fa no r g a n i z a t i o n a lu n i ti t s o o w n e rd n d i s t i n g u i s h e dn a m eo f t h ec n = j o h ns m i t h ， p e r s o nt h a to w n st h ee n t r yo = i b m ，c = u s o r g a n i z a t i o n ，o c l sn a m eo fa no r g a n i z a t i o nl b m j p e g p h o t o b i n p h o t o g r a p h i ci m a g ei nj p e gp h o t o g r a p ho f f o r m a tj o h ns m i t h 2 2 2 命名模型 l d a p 的命名模型定义了项如何被组织和识别。项是被按照目录信息树 ( d i t ) 的树形结构组织起来的。基于它的区别名( d n ) ，项才能在d i t 里被 加以组织安排。d n 是明确地标识一个目录项的唯一的名字，由一个相对区别 名( r d n ) 的序列组成。每一个r d n 相当于d i t 里的一个分支，每一个目录 第二章l d a p 目录服务协议解析 项都可以从d i t 的根经分支达到 8 1 。 d i t 的示例如图2 -