（模式识别与智能系统专业论文）ldap协议研究.pdf

硕：l 论文l d a p 协议研究 摘要 x 5 0 0 使用的目录访问协议d a p 是o s i 协议族上运行的标准目录服务协议。由 于o s i 协议栈开销巨大，而目前普遍使用的i n t e r n e t 是基于t c p i p 协议栈，所以， 基于t c p i p 协议栈的l d a p 代替x 5 0 0 成为互联网上目录服务的事实标准。 l d a p v 2 己经在i e 仃中达到草案级标准并得到许多厂商的支持，现在，新的l d a p v 3 已缀提出，它在l d a p v 2 的基础之上主要增加了安全和国际化扩展。l d a p 不是数 据簿，僵是可以把它描述成一个简化的数据库，因为它象数攒库一样存储数獭但不 支持许多复杂酌数据库操作。l d a p 可以弼数据模型描述蟊录中存放数据的结构， 它主要隧属往值对形颧存敬；甭命名模篓描述目录中数据的组织和区分方式，主 要以蓄深倍患褥的形式表示；糟功能模型描述舀录中数据酌搽作，主爱蓬查我、修 改、验证操作；用安全模篓描述l d a p 靛安全保护，主要区分为甏名、简单验证和 s a s l 验证。l d a p 协议懿实瓒有许多产晶，妻霸n e t s c a p e 的d i r e c t o r ys e r v e r 、s u n 公蠲黪i p l a n e ts e r v e r 帮自蠢软臀o p e n l d a p 。 o p e n l d a p 以l d a p v 2 为基旗，实现tl d a p v 3 懿功能。它于其德鑫e 蓦软件 o p e n s s l 、b e r k e l e yd b 积c y r u s 等一起提供了完备蕊翳录服务，其中，o p e n s s l 主 要提供传输数撰的加密于鲻密；b e r k e l e yd b 用表程放数攥；c y r u s 提供s a s l 扩耀 认证机划。 本文使用上述囊由软件，搭建了一个模拟平台并详细讨论了l d a p 协议本身， 重点研究l d a p 的访问安全问题。幽于o p e n l d a p 提供的管理工具都是基于愈令行 的，所以还利用跨平台的开发平台j a v a 提供的j n d ia p i 开发一套基于g u i 凰形耀 户界面的管理工具。 关键词：目录服务、l d a p 、s a s l 、s s l 、t s l 、j n d i 靖l 堡竖塑- 一 ! ! 竺坐坚业i a b s t r a c t x5 0 0s p e c i f i e st h a tc o m m u n i c a t i o nb e t w e e nt h ed i r e c t o r yc l i e n ta n dt h ed i r e c t o r y s e r v e ru s e st h ed i r e c t o r ya c c e s s p r o t o c o l ( d a p ) h o w e v e r , a s a n a p p l i c a t i o nl a y e r p r o t o c 0 1 t h ed a pr e q u i r e st h ee n t i r eo s ip r o t o c o ls t a c kt oo p e r a t e s u p p o r t i n gt h eo s i p r o t o c o ls t a c kr e q u i r em o r er e s o u z c e st h a na 2 e a v a i l a b l ei nm a n ys m a l le n v i r o n m e n t s t h e r e f o r e l d a pw a sd e s i r e dt ou s et c p 撑p r o t o c o ls t a c k , a n dw a st h es t a n d a r di n i n t e m e ti nf a 托n o wl d a p v 2h a sb e c a m et h ed r a f ts t a n d a r da n db e e ns u p p o a e db ym o s t f a c t o r y l d a p v 3 h a sp r o m p t e dt oe x t e n d s e c u r i t y a n di n t e r n a t i o n a l l d a pi sn o t d a t a b a s eb u tc a l lb es e e na sas i m p l ed a t a b a s ef o ri th a si g n o r em a n yf u n c t i o n st h a t d a t a b a s es u p p o s e d t h ei n f o r m a t i o nm o d e ld e s c r i b e st h es t r u c t u r eo fi n f o r m a t i o ns t o r e d i na nl d a pd i r e c t o r y n a m i n gm o d e ld e s c r i b e sh o w i n f o r m a t i o ni na l ll d a p d i r e c t o r yi s o r g a n i z e da n d i d e n t i f i e 覆f u n c t i o nm o d e ld e s c r i b e sw h a to p e r a t i o n sc a nb ep e r f o r m e do n t h ei n f o r m a t i o ns t o r e di n a l ll d a pd i r e c t o r y t h es e c u r i t ym o d e ld e s c r i b e sh o wt h e i n f o r m a t i o ni na l ll d a pd i r e c t o r yc a i l 波p r o t e c t e df r o mu n a u t h o r i z e da c c e s s 。m a n y o r g a n i z a t i o n s h a v e i m p l e m e n t e d t h el d a pa n d d e v e l o p e d t h e i r p r o d u c t s s u c ha s n e t s c a p e sd i r e c t o r ys e r v e r ，s u n si p l a n e ts e r v e r a n dt h ef r e es o f t w a r eo p e n l d a p o p e n l d a p w a sb a s e do nl d a p v 2a n dn o wc a ns u p p o r tm a n yl d a p v 3e x t e n s i o n s c o o p e r a t e dw i t ho t h e rf r e es o f t w a r es u c ha so p e n s s l ，b e r k e l e yd b a n dc y m s n o w o p e n l d a pp r o v i d e sl d a p a n dl d a p s p r o t o c o l ，m a n ya u t h e n t i c a t i o n sa sa n o n y m o u s ， s i m p l ea u t h e n t i c a t i o na n ds a s l a u t h e n t i c a t i o n 。 t h i sa r t i c l er e s e a r c h e st h el d a pi t s e l fa n dp u tt h em a i ne f f o r to nt h es e c u r i t yo f a c c e s s i n g t h el d a p s e r v e r u n f o r t u n a t e l y ，o p e n l d a pn o l yp r o v i d e sc o m m a n d l i n et o o l s t om a n a g ed i r e c t o r ys e r v e r ，w ec a r lu s e sc r o s s - p l a t f o r mt o o l s ，j a v a ，t od e v e l o pag u i b a s e dt o o l s k e vw o r d s ：d i r e c t o r ys e r v i c e 、l d a p 、s a s l 、s s l 、t s l 、j n d i 繁l l 虹 硕：l 论文l d a p 协议研究 第一章绪论 在网络发展日益复杂的今天，如何对网络进行高效智能化管理是当前的一个研 究和开发热点。目录服务以其支持分布式环境、安全可靠、灵活方便等优势f 从提 供用户信息查找、黄页服务等走向网络管理的舞台，并逐渐成为下一代智能化网络 管理的核心部分。采用目录服务进行网络管理已经成为网络发展的一种必然趋势。 国外对目录服务的研究始于1 9 8 8 年o s i 模型建立时，和h t t p 、f t p 等一样， 目录服务使用的协议一一目录访问协议是网络应用的标准协议。在1 9 9 5 年，i e t f 提出了轻型目录访问协议( l d a p ) 的版本2 标准，即l d a p v 2 。时隔两年，i e t f 又提出了l d a p 版本3 标准，l d a p v 3 。现在，由于网络本身在不断变化，l d a p 本身还在不断完善中。国外的标准化组织每提出一个标准，必然有支持新标准的产 品，如n e t s c a p e 的d i r e c t o r ys e r v e r 、s u n 的i p l a n e t s e r v e r 等。 国内对目录服务的研究和应用也日趋重视但主要集中在目录服务应用的研究。 “九五”期间，“分布式中英文目录服务系统”作为国家重点科研项目“计算机信息 网络及其应用的关键技术研究”的子课题立项。国内的一些高校也积极将l d a p 应 用于实际，如，华南理工大学开发了一个基于l d a p 目录服务的校园网络管理系统 d c a m p u s 这个系统采用浏览器服务器结构，具有良好的用户管理界面；北京大学 也提出要建立基于w e b 的目录服务管理系统。这两个系统都采用j a v a 开发，使用 了j a v a 命名与目录接口( 扑i d i ) ，将人们熟悉的w e b 访问方式与目录服务结合在 一起，是推广和应用目录服务的一种有效途径。 网络的出现必然伴随这安全问题的产生。l d a p 要想作为网络管理的核心部分， 必须充分考虑安全因素。本文详细研究了l d a p v 2 和v 3 协议本身，着重讨论了l d a p 如何实现目录访问安全，力图建立一个安全、实用的l d a p 目录服务环境，同时还 开发一个基于图形用户界面的l d a p 客户端。 第】砸 硕：l 论文l d a p 协议研究 第二章目录服务 2 。1 x 5 0 0 ：目录服务标准 1 9 7 7 年，国际标准化组织i s o 下设了一个专门委员会s c l 6 ，着手制订开放系统 互联的有关标准。所谓开放系统，是指任何信息系统只要遵循这一国际标准进行构 造，就可以与世界上所有遵循这同一标准的其他系统互联和互通。该委员会于1 9 7 9 年完成了基于功能分层概念而开发的结构模型，称为o s i ( 开放系统互连) 参考模 型。同年年底，国际电话电报咨询委员会( c c i t t ) 认可并采纳了这一国际标准的 建议文本。o s i 参考模型为开放式互联信息系统提供了一种功能结构的框架。 o s i 协议簇在互联网上的一个重要的领域就是目录服务。c c i t t 在1 9 8 8 年创建 了x 5 0 0 标准，该标准在1 9 9 0 年正式命名为i s o9 5 9 4 ，d a t a c o m m u n i c a t i o n s n e t w o r k d i r e c t o r y , r e c o m m e n d a t i o n sx 5 0 0 一x 5 2 1 。通常也叫x 5 0 0 。 x 5 0 0 把目录项组织成分层的命名空间以支持大容量的数据信息。它定义了强大 的搜索功能使获取信息变得简单。正是因为功能强大和良好的兼容性，x 5 0 0 经常 作为第三方模块连接两个不兼容目录服务。x 5 0 0 定义了目录服务客户端和服务端 使用的目录访问协议( d i r e c t o r ya c c e s sp r o t o c o ld a p ) 。为一个应用层协议，d a p 必须要整个o s i 协议栈的支持。由于o s i 协议栈开销巨大使得较小的应用环境无法 承受，所以有必要开发使用开销较小的t c p i p 协议栈的目录服务。 2 2 l d a p ：轻量级的x 5 0 0 7 0 年代中期，美国国防部高级研究工程局d a r p a ( d e f e n s ea d v a n c e dr e s e a r c h p r o j e c ta g e n c y 美国国防高级研究计划局) 资助网问技术的研究开发，i a b ( i n t e m e t a r c h i t e c t u r eb o a r d 互联网架构委员会) 和它的辅助机构i e t f ( i n t e m e te n g i n e e r i n g t a s kf o r c e 互联网工程任务组) 于1 9 7 7 年到1 9 7 9 年推出t c p i p 体系结构和协议规 范。接着，在1 9 8 0 年开始将最早出现的计算机网络之一，a r p a n e t 上的所有计算机 转换为t c p i p 协议，并以它为主干建立互联网，即i n t e r n e t ，随后又采取了许多 措施推广使用t c p i p 协议。通过一系列的研究开发和应用推广，t c p i p 协议得以 不断改进和完善。 l d a p ( l i g h t w e i g h td i r e c t o r y a c c e s s p r o t o c 0 1 ) 被设计为d a p ( d i r e c t o r y a c c e s s p r o t o c 0 1 ) 的简化版本，使用的是开销较小的而且较为流行的t c p i p 协议栈。l d a p 简化了x 5 0 0 的一些操作，并且去掉了一些不为人们熟悉的功能。l d a p 的第一个 版本在r f c l 4 8 7 ( x 5 0 0 轻量级访问协议) 中定义，后来被r f c l 7 7 7 ( 轻型目录访 问协议) 代替。r f c l 7 7 7 和r f c l 7 7 8 ( 标准属性语法的字符表示法) 、r f c l 7 7 9 ( 区 第2 “ 硕：l 论文l d a p 协议研究 别名的字符表示法) 、r f c l 9 5 9 ( l d a pu r l 格式) 、r f c l 9 6 0 ( l d a p 查询条件的 字符表示法) 一起定义了l d a p 版本2 。l d a p v 2 在i e t f 的标准进程中达到草案绒 标准，许多厂商就在开发的产品中支持了l d a p v 2 。 现在，新的r f c 开始定义l d a p v 3 标准r f c 2 2 5 l ( l d a p v 3 ) ，包括：r f c 2 2 5 2 ( l d a p v 3 ，属性语法定义) ：r f c 2 2 5 3 ( l d a p v 3 ，区别名的u t f 8 字符表示法) ： r f c 2 2 5 4 ( l d a p 查询条件的字符表示法) ；r f c 2 2 5 5 ( l d a pu r l 格式) ：r f c 2 2 5 6 ( 使用l d a p v 3 的x 5 0 0 用户方案小结) 。r f c 2 2 5 l 现在还是一个提议标准，它对 l d a p v 2 有如下改进： 引用因为目录支持分布式存放，有可能用户要求的数据不在查询的服务 器上，l d a p v 3 服务器能返回存放数据的服务器的名字。 安全l d a p v 3 支持强制认证机制s a s l ( s i m p l e a u t h e n t i c a t i o na n ds e c u r i t y l a y e r 简单认证安全层) 。 国际化l d a p v 3 使用i s 0 1 0 6 4 6 字符集来支持多国语言。 可扩展能以标准方式动态定义新的对象和操作。 l d a p 定义了目录服务客户端和服务器端的通讯协议，但是没有定义客户端的编 程接口。t l f c l 8 2 3 ( l d a p 应用编程接口) 定义了c 语言的a p i 访问l d a p v 2 目录 服务器。它不是一个标准，仅仅是一个参考，但是已经成为事实上的标准。 2 3l d a p 与x 5 0 0 的关系 l d a p 定义的是通讯协议，它定义了客户访问x 5 0 0 一类的目录的信息的传输标 准和格式，l d a p 没有定义目录本身。 一个应用程序通过l d a pa p i 初始化一条l d a p 消息发送到服务器，但是x 5 0 0 目录服务器根本不能解释l d a p 消息。实际上，l d a p 客户和x 5 0 0 服务器使用的 是不同的协议( t c p i pv s o s i ) 。l d a p 客户实际上是和一个网关进程( 也叫代理 或前端) 通讯，由网关发送消息到x 5 0 0 服务器，如图2 - 1 。这个网关就是所谓的 l d a p 服务器。它一方面是l d a p 的服务器，另一方面是x 5 0 0 的客户端，而且要 能同时用t c p i p 和o s i 的协议通讯。 硕：l 论文 l d a p 协议研究 这种模型的最大弊端非常明显，必须要一个x5 0 0 的服务器。这样的花销很大， 于是就演变出了直接用l d a p 服务器连接目录，如图2 2 所示。这样的模型中的h 录服务器也称为独立的服务器。 从l d a p 客户角度看，l d a p 服务器实现了目录访问协议，至于是通过x 5 0 0 服务器还是独立服务器，客户不必知道。存储数据的目录也不管是x 5 0 0 服务器访 问还是独立服务器访问，它只提供目录。 2 4 目录和数据库的关系 目录经常被描述为一种特殊的数据库，它与普通的关系数据库有许多显著不同 的特点。一个关键的不同就是目录经常进行读操作而较少进行修改操作。它可以支 持千计的用户同时进行查找。要做到这一点，目录必须进行特殊的优化，优化的代 价就是目录修改速度的减慢。与之不同的普通的关系数据库则要求数据修改的高速、 高可靠性支持。因此，目录适合存放静态的信息而普通数据库适合存放动态的信息。 目录与普通数据库的另一个重要的不同是目录不支持事务处理。简单地讲事务 处理就是要么全做，要么全不做。这在复杂的应用环境下是必须的，如银行的转帐 功能，必须保证转出的金额要存到转入的数据库里，这里的两个操作就要求要么都 做，要么都不做。 因为普通数据库要适应不同的环境，所以在一个集合里要能存放任意的数据， 如姓名、性别、相片等等，这里的集合指数据库里的某个表的一条内容。目录的一 个集合却有一定的限制，如目录里的用户联系信息集合只能存放姓名、地址、电话 号码等与用户相关的数据，这里的集合是指目录中的一个对象。当然，用户可以对 目录进行扩展，使某个对象包含更多的信息。 还有一个差别是目录不支持s q l 语句。s q l ( s t r u c t u r e d q u e r yl a n g u a g e ) 结构 化查询语言是一个非常强大的数据库访问方式，它允许非常复杂的添加、查询、修 改、删除操作。功能强大意味这效率减低，l d a p 对查询有较高要求，因此不必使 用s q l 而专门有一套优化过的数据查询方法。 第4 血 硕：l 论文 l d a p 协议研究 2 5 目录服务的工作模式 目录服务是以客户服务器模式工作的。一个应用程序想要从目录中读写数掘 都不是直接和目录服务器打交道，而是调用一系列a p i ( a p p l i c a t i o np r o g r a m m i n g i n t e r f a c e ) 应用程序接口，这些a p i 把操作命令消息传递到另外一个进程。接到消 息的进程负责进行实际的处理，把处理的结果返回发起调用的进程。过程如图2 3 所示。 应用程序发起请求，通过t c p i p 发送到目录服务器，目录服务器再作为客户 访问数据库得到结果，通过t c p 口发送回客户端。中间消息的传递格式必须有一 定的要求，这些是由l d a p 协议定义，对用户透明，用户看到的只是a p i 。 多台目录服务器可以协同工作，支持分布式概念。目录服务可以用来为一个局 域网服务，也可用来为广域网服务，即访问的人可以在局域网内部也可以在局域网 外。目录服务中存放的信息可以是个人信息，也可以是公司信息。如此多的信息有 可能使一台服务器不能完成任务，这时就有了分布式的概念。即所有的信息不放在 同一台服务器上，而是分成若干台存放。存放在目录中的信息可以只在一台服务器 上，也可以在多台服务器上。这要在规划时确定，目的就是保证用户能尽快得到数 据。 第5m 硕：l 论文l d a p 协议研究 2 6 本章小结 本章简单介绍了标准目录服务x 5 0 0 的特点及其实现上的困难，由此引入 l d a p 。l d a p 是工作在t c p i p 协议栈之上、使用客户机服务器模式的x 5 0 0 的简化版本。l d a p 有充分的灵活性，它可以作为独立的服务器，也可以使用x 5 0 0 服务器。l d a p 提供目录服务的所有基本功能，而且，l d a p 本身也在一个不断进 步。作为r f c 的提议标准，l d a p v 3 比l d a p v 2 改进了许多有用的功能。 第6 贝 l ： i i ：b 论文 l d a p 协议研究 第三章l d a p 协议 l d a p 基于客户服务器体系访问x 5 0 0 目录服务中存放的信息，它比x 5 0 0 目 录服务发展更快，使用的更普遍。这主要归功于它比x 5 0 0 更简单、更易于使用。 l d a p 运行的基础协议是t c p i p 而不是o s i 协议，t c p i p 本身对资源要求 不太高，而且使用非常普遍，这在桌面系统更为突出。 l d a p 的功能性模块比x 5 0 0 简单，它忽略了那些重复的、很少使用的、晦 涩难懂的功能，因此l d a p 比较易于使用和实现。 l d a p 使用简单的字符串来表示数据，而不是使用复杂的结构化的a s n 1 语法来表示数据。 3 1l d a p 模型 l d a p 基于以下四类模型： 数据描述存储在l d a p 目录中的数据的结构； 命名描述数据在l d a p 目录中如何组织和区分； 功能描述可以对l d a p 目录中的数据进行何种操作； 安全描述如何保证l d a p 目录中的数据的安全。 3 1 1数据模型 l d a p 目录中的数据存放的最基本单元称为目录项。目录项代表了现实世界中的 人、公司、单位等等实体。目录项中包括描述实体的一系列属性，每个属性出一个 类型，一条或多条值组成。值与类型之间具有一定的约束关系，这类关系成为属性 值语法。不同的类型要求有不同的取值范围。如：t e l e p h o n e n u m b e r 类型要求取值为 字符。由于一个公司可能不只有一部电话，所以可以有多个值对应t e l e p h o n e n u m b e r 类型。目录项、属性类型、属性值之间的关系可用图3 1 表示。 除了定义什么值对应什么类型外，属性值语法还要定义这些值的语义。如上面 的t e l e p h o n e n u m b e r 类型的值应该有如下语义： 字典排序； 大小写不敏感，空格、短横线在比较时忽略： 值必须为字符串。 也就是讲，0 2 5 1 2 3 4 5 6 7 、0 2 5 1 2 3 4 5 6 7 、0 2 5 1 2 3 4 5 6 7 实际上是一个电话号码。表3 1 列举了一些l d a p 常用的语法描述。 ；i j _ 7 血 硕：l 论文l d a p 协议研究 语法接述 b i n二进制数据 c e s太小麓敏感字 寄宰 c i s大小獬不敏感字符串 t e l 毫话弩鹃，数字看成字符事，空格、短援线葱珞 d n 区分名( d i s t i n g u i s h e dn a m e ) | g e n e r a l i z e dt i m e年、莞、嚣、辩阗豹警磐串表示 i p o s t a la d d r e s s 邮政地址，若有多行，用“扩字符隔开 波3 - 1l d a p 茨一些谗法箍遮 表3 - 2 列攀了一些鬻瑗的簇蛙。 属挫，别褰语法撰述 c o m m o n n a m e ，c n c l s个l d a p 项的通用名 s u r n a m e 。s r lc l s姓 o w n e rd n拥有此项的人的区分名 o r g a n i z a t i o n u n i t n a m e ，o h c l s缀织中单位名 o r g a n i z a t i o n ，0 c l s组织名 j p e g p h o t o c l si p e g 格式的图象 t e l e p h o n e n u m b e r t e l电话号码 表3 2 常孀约l d a p 属性 每个属性都可能有约柬，制约存储在该属性中的值的长度或大小。例如，能存 储阁片的属性就限制图片的太小不能超过1 0 k 。能存储身份证号的属性限制位数不 第8 见 硕：l 论文 l d a p 协议研究 能越过1 8 彼。规划( s c h e m a s ) 定义了存储在目录中对象的种类，它也列出每个对 象鑫毫所有属憷，并说瞬哪些属性是必须有载，哪些属性是可选的。例如，缝p e r s o n 规划中，属性s u r n a m e ( s n ) 是必须有的，而属性d e s c r i p t i o n s 是可选的。规划检查 ( s c h e m a - c h e c k i n g ) 保证所肖保存到目录啦瓣象的合法性，即，魇有必须有的属性 一定有，规划中没脊的属性一定没有。表3 3 列举了些常用的规划( 对象类和必 须的属性) 。目录中的一项常常包含几个对象类。 对象浆擒述必须的属性 l n e t o r g p e r s o n 定义一个入c o m m o n n a m e ( c r l ) $ 1 1 r n a l l l e ( s n ) o b j e e t c i a s s o r g a n i z a t i o n a l u n i t定义组级中的单使 o r g a n i z a t i o n a l u n i t n a m e = ：而晷 录顼簸是一系菇静r d n 懿遥续，串麓浚逗弩努舞。爨3 2 麓示了一耩麓荤懿嚣录信 筘譬虫 项j l 论文 l d a p 悱 义研究 息榭。 ? 图3 - 2 棵简单的目录信息树( d i t ) 图中的个方椹代表了一个目录项，根目录项仪仅是逻辑想象的，实际并不存 在。舀寐项墼翻举翡属性只是一都分，德兵有代表倭。 d i t 中目录项的位置常常由该且录项所代表的意义决定，如代表国家的目录项 会出现在d i t 的顶端，然麓是公吲、单位、团体等等。再彼下可以是代袭入的蠲录 颈或是代表子公司、下属攀缱等貔星录项。在d i t 黪最底鲻戆基豢项戡袭实黪戆个 体，如公司里的人、单位里的一螽打印机等。d i t 可以有任意深度、任意的分支数 器，这楚壶设计露懿实际| | 孥猛嚣爱。 d i t 中的目录项根据它在树中的位最来命名。依据是：从它的位置到根的路径 ：经过的节点顺序依次叠加。如蓄2 - 2 中右下角的蟊象项静d n 就愁c n = j o h ms m i t h ， o = a b c ，e = c n 。 当然，该嗣录项的d n 也可以是m a i l = s a b c c o m o = a b c - c = c n a 这个d n 波三个r d n 终残，转舅# 是逗号翳开靛三令零分。 d i t 的组织象一棵树但不是严格的一棵树结构，这就是因为有了别名节点。如 黼3 2 中翡爱下节点，它燕强3 - 2 中毫下节点豹别名节点。剐名节点破坏了辫躲结 构，但带来的好处是；当一个目泶项属于不同的分支时，只用一个节点详细描述， 瑚j l 论文 l d a p 悱 义研究 其他常点简单作为一个别名即可，这样避免了修改时要同时进行多处修改。另外， 别名节点不一定时，叶子节点。如o u = l d a pt e a m ，o = a b c ，c = u s 可以设嚣联名 节点o = a b cl d a p ，c = u s 。 d n 唯括示l d a p 耳最项，就憾数据摩中的主键。l d a p 定义了一套添法，使 用字符串来寝示d n 。d n 酌语法如图3 3 所示。 d i s t i n g u i s d e d n a r n e f n a m e l n a m e = h a l i e c o m p o n e n t8 r ， n a m e - c o m p o n e n t ) n a m e c o m p o n e n t = a t t r i b u t e t y p e a n d v a l u e + r “+ a t t r i b u t e t y p e a n d v a l u e ) a t t r i b u t e t y p e a n d v a l u e = a t t r i b u t e t y p e “= ”a t t r i b u t e v a l l i e a t t r i b u t e t y p e = ( a l p h a1 8 k e y c h a r ) ，o i d k e y c h a r = a l p h a d i g i t “- “ o i d = l d l g l t4 f 。”l * d i g l t ) a t t r i b u t e v a l u e = s t r i n g s t r i n g = ( s t r i n g c h a r ，p a i r ) 哗 h e x s t r i n g q u o t a t i o n + ( q u o t e c h a r p a i r 、 q u o t a t l 0 n + q u o t e c h a r2 摄务器返霞蓬荐； = ”大于等于、“ = ”小于等于、“= 一等于所有、 “= ”包含。值可以使用通配符”。 查询条件可以组合，组合语法为： ( “”或“l ”( 条件1 ) ( 条件2 ) ( 条件3 ) ) ( “! ”( 条件) ) “& ”、“h “ ”分别表示与、或、非三类布尔操作。查询条件允许嵌套如 ( 1 ( s n = s m i t h ) ( & ( o u = s a l e ) ( s n = m i l l e r ) ) ) 表示所有部门的姓s m i t h 的人或销售 第1 4 负 硕：l 论文l d a p 协议研究 部的姓m i l l e r 的人。 3 。l 。4 安垒模墼 根掘功能模型可知安全模型实际就是在绑定阶段验证用户并且分配用户权 鼹，绑定阶段可以有各种不同的验证方法，最简单的慰用户提供d n 和明文密码提 交绘服务器验 曩。船票没有b 雌帮密码，服务嚣建立一次匿名会话。鞠文密码在阚 络上传输非常不嶷全，所以强烈推荐不采爝。另一种验证方法是k e r b e r o s 绑定，这 磁l d a p v 2 中聚用，l d a p v 3 中反对使用。相应的，l d a p v 3 推出了简单验证和安 全朦( s i m p l e a u t h e m i c a t i o n a n d s e c u r i t yl a y e rs a s l ) 机制。s a s l 慰一个通用的验 话穰粱，它霹虢镬雳多耱试诞方法来验诞客产。k e r b e r o s 佼稷是冀孛耱。臻在 l d a p v 3 还推出一些扩展安龛机制，其中就有传输层安龛( t r a n s p o r tl a y e rs e c u r i t y t l s ) 。t l s1 0 是安全套接字层( s e c u r es o c k e tl a y e rs s l ) 3 0 的扩展，它可以保证 在嬲络上接竣的数据不被篮瞬，其体豹安众觌铡在下繁讨论。 3 2l d a p 安全 计算极网终中安全是最黧簧的因素，对乎l d t 蜉 遮撵静客户机服务器模型蜜 全瞧是营要考虑条俘。当客户和服务器逐谶对，在不安全静翮络上传输敏感信惑必 颁得到保护。服务器必须知潋是谁发出请求，它请求的操作是否在窀的权限范围内， 客户也要知道岛已是否把请浓发送到正确囊哿服务器上。归纳起来，l d a p 考虑的蜜 垒穗括下瑟霆方嚣。 用户认证- 一保证客户的身份穰客户所声明的一样； 数据党整一一保证服务器收到的数据没有被篡改 数据缳密一一程掰能使数据黎辫的迪方对数据加密； 用户援载一一绦试用户的请袋在餍户静投隈范匿内；用户授较必须傻弼 户认诞通过以后才嶷施。在l d a p v 3 中用户授权不在协议范围内，而鼹 有各个厂商自己完成。 溷为第霆今溅索不在l d a p v 3 蛰毒交蕊爨癌，我囊炎考虑蔻三令戮豢。有摄多方 法w 以用来完成厢户认证功能，最常用的也是l d a p 掇供的方法包擂以下三个方诫e 无认诚； 基本认溅； 篱革试证帮