（电力系统及其自动化专业论文）ldap分析及其应用研究.pdfVIP

a b s t r a c t l o n g e v o l u t i o nh a v em a d ed i r e c t o r ys e r v i c et ob eac r i t i c a lt e c h n o l o g yf o r i n t e r a c t m a n ye x p e r t sp r e d i c a t et h a ti nt h ef o r e s e e a b l ef u t u r ew h o l e i n t e r a c tw o u l d b ed r i v e nb yd i r e c t o r y f r o mc o n f i g u r a t i o no f m u t e r , a l l o c a t i o no f b a n d w i d t h ，c r m o f e n t e r p r i s e ，t o m a n a g e m e n t o f a d d r e s s b o o k ，d i r e c t o r y w o u l d b e t h e o m n i p r e s e n t i n f r a s t r u c t u r eo f i n t e r a c t l d a pi sd ef a c t os t a n d a r do fd i r e c t o r ys e r v i c e o p e n l d a p - ao p e ns o u r c e i m p l e m e n to fl d a p - h a sb e e nw i d e l ya p p l i e da n di t s2 xr e l e a s et r e n dt oc o m p l e t e c o m p a t i b l ew i t l ll d a p v 3 t h i sa r t i c l ei n c l u d e sd i s c u s s i o na b o u tb o t ho fp r o t o c o la n da p p l i c a t i o no fl d a p , a n di n t e n d sf o rr e s e a r c ho ne n t i t yd i r e c t o r ys e r v i c e i n v e s t i g a t e di n t ox 5 0 0 _ a s u c c e s s l e s sb u th a v i n gg r e a te f f e c tp r o t o c o la n dd i s c u s s e dt h ei s l i e rr e a s o no f c o n v e r s i o nt ol d a p , t h i sp a p e rd e l v e si n t ol d a p si n s i d ef r a m e w o r k ，o p e r a t i o n m e c h a n i s m ，i n t e m a lr e l a t i o no fp a r to fp r o t o c 0 1 b e s i d e sc o r ep r o t o c o l ，m o r er e l a t i v e n o r m su s e db ya p p l i c a t i o nh a v eb e e nc o n s t i t u t e dt oc o o r d i n a t et h ep r e s e n to fo b j e c t o nt h en e ta n dd e ni sp r o m i n e n to n e i nc h a p t e r4 ，ia n a l y s eh o wt oi m p l e m e n tt h e s ep r o t o c o li nd e t a i l t h e r ea r e g e n e r a ls e r v e ri s s u e sa b o u ti n i t i a t i o no fs e r v e r ，i p c ，b u tp r e s e n t m e n t ，p r o c e s s i n ga n d s t o r eo f d a t ae l e m e n t sd e f i n e db yp r o t o c o l ，e x e c u t i v eo f o p e r a t i o n so f p r o t o c o la n d s p e c i a lc o m m u n i c a t i o nm e t h o db e t w e e nc l i e n ta n ds e r v e rm a k eo p e n l d a ph a v e g r e a td e a lo f c o d e sb e c a u s eo f c o m p l e x i t yo f d i r e c t o r ys e r v i c es t a n d a r d s is t u d y s t r u c t u r e ，i n i t i a t i o n ，r u n n i n g ，a n di n t e g r a t i o no f f r o n ta n db a c k e n do f s e r v e r , e s p e c i a l l yr e a l i z a t i o no f p r o t o c 0 1 a tl a s tid i s c u s sa d v a n t a g e ，d i s a d v a n t a g ea n d f u t u r eo fo p e n l d a p w i t ht h eo b j e c to f r e s e a r c hi n t oa p p l i c a t i o no f l d a p , e s p e c i a l l yi nd o m a i no f i n d u s t r yc o n t r o la n de m b e d d e dd e v i c e id e v e l o pag e n e r a ll d a pc l i e n tw i t l lg u i u s e df o re m b e d d e dd e v i c e - - m i l a c m i l a cc a na c c o m p l i s hp r i m a r yo p e r a t i o n m i l a c t a r g e t se m b e d d e ds y s t e mb a s e do nl i n u xa n du sap o c k e d s i z eg r a g h i cl i b r a r y d e v e l o p e di nd o m e s t i c m i l a ci sd e v e l o p e dw i t hg n ut o o l s ，s oi tc o n f o r mt h eg e n e r a l d e v e l o p m e n ta n dd i s t r i b u t i o nm o d eo f o n us o f t w a r e t h ed e v e l o p i n go f m i l a c s h o w sa d v a n t a g eo f f r e es o f t w a r ed e v e l o p m e n tm o d ea n d f l e x i b i l i t yo f l d a p k e yw o r d s = l d a p ，d i r e c t o r ys e r v i c e ，s e r v e r te m b e d d e ds y s t e m 西南交通大学硕士研究生学位论文第1 页 第一章绪论 l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c o l ，轻量级目录访问协议) 是一 项目录服务领域的日益受到重视的主要协议标准。它的出现为解决网络信息量 剧烈膨胀，网络结构复杂提供了一种解决手段。相对于一般数据库，目录服务 可以使信息以更符合其本来内在秩序的形式保存和获取，因而使用更加方便。 l d a p 可以认为是对目录服务领域已有的标准的改进和更新，因而得到业界普 遍欢迎。 1 1 对目录服务的需求 网络信息量膨胀使用户和应用程序获得所需要的信息变得更加困难，由于信 息来源多样化，从信息来源控制信息显然不现实，解决这一问题的办法自然就 是为信息提供索引，这就是目录服务的主要目的。尽管目录也被归类于数据库， 但目录的内容更多是作为对信息的索引而被使用，在这一点上与常见的关系型 数据库是不同的。 目录服务最初只是提供一些简单服务，例如提供用户信息的f i n g e r 和提供f 口 文件信息的g o p h e r 。为了适应迅速发展的网络，x 5 0 0 和l d a p 等规范化的目 录服务陆续出台。 1 2l d a p 相关协议 8 0 年代末，c c i t t ( i m e m a t i o n a lt e l e p h o n ea n dt e l e g r a p hc o n s u l t a t i v e c o m m i t t e e ，国际电报电信咨询委员会) 和i s o ( i n t e l n a t o n a ls t a n d a r d s o r g a n i z a t i o n ，国际标准化组织) 组织制定x 5 0 0 作为o s i ( o p e n 体系中的目 录服务标准。x 5 0 0 是一个庞大的计划，目的是建立一个全球统一( 规则统一， 名称空间统一) 的目录服务体系。由于x 5 0 0 协议体系复杂，没有得到广泛应 用，但是却极大影响了之后的目录服务的体系结构。p 1 3 6 j l d a p 就是在x 5 0 0 的基础上改进发展而来。 l d a p 是诞生在互联网上的标准，i e t f 主持制定，由一系列r f c 组成。1 1 1 4 1 有许多i e t f ( t h ei n t e m e te n g i n e e r i n gt a s kf o r c e ) 的成员以草案( i e t fd r a f t ， i - d ) t ”1 形式提出对于l d a p 标准的制定和修改意见，逐渐形成r f c 。由于l d a p 西南交通大学硕士研究生学位论文第2 页 规范的实用性，得到更加广泛的应用。但是l d a p 协议很多基础部分来自其他 国际组织的相关协议。 相对于一般国际组织，i e t f 的工作是开放性的。标准制定的参与者以个人 为主，而且任何人都可以通过邮件列表等方式参加进去，比较而言不太容易受 商业机构和政府左右。鉴于我国在信息技术的弱势地位，参预此类组织的工作 是非常有益的。 在纯学术刊物上有关l d a p 的论文数量有限，但是网络上的非商业和商业 机构提供了大量的关于核心协议文本和应用的信息。除了i e t f 的r f c 和i d ， i t u 、d m t f ( d i s t r i b u t c dm a n a g e m e n tt a s kf o r c e ) 等组织为l d a p 的应用做了 必不可少的大量工作，他们制定的标准中也有许多与l d a p 相关的内容。这些 组织及其成员建立的站点往往提供了大量技术材料。 l d a p 不是一个孤立的标准，它是一个面向应用的协议，其宗旨在于提供一 种比较方便实用的服务。为了目录服务能够广泛应用和实现数据共享，i e t f 和 其他组织提出了大量辅助规范，指导如何在l d a p 目录中表示各种网络元素。 例如，d e n l “m 1 是基于l d a p 的关于定义网络信息模型和建立智能网络的技术 规范。由于城域网和广域网的带宽等资源相对紧缺而昂贵，d e n 试图通过模式 化智能管理更合理地使用资源。同时，即使在局域网使用d e n 智能网络也可以 减轻管理工作。d e n 获得c i s c o 和m i c r o s o f t 支持，发展前景广阔，因此论文特 别研究了d e n 与l d a p 关系。 l d a p 作为目录服务的主流标准，发展潜力巨大，但是受主客观条件影响， 国内主流软件的研究和应用开发上一直追随微软的体系结构，对于目录服务这 样面向企业和机构的技术较少涉及( 微软从w i n d o w s 2 0 0 0 才支持目录服务，而 且实现中向用户甚至开发人员屏蔽了大部分底层核心技术) 。同时目录服务各个 协议牵涉面广，一方面l d a p 以x 5 0 0 和a s n 1 等为基础，另一方面又是d e n 等技术的基石，协议研究的工作量较大。 目前国内对目录服务的协议研究很不充分，早先对x 5 0 0 的研究很少，只是 最近一两年对于l d a p 的探讨稍微多一些，有个别论文介绍了l d a p 协议基本 结构，而对l d a p 的应用研究与实践之前一直局限于邮件系统等个别领域，p “2 1 总体来看参考价值有限。但是随着国内研究与应用水平的提高，对这一领域的 理论研究的需要会大大提高。 西南交通大学硕士研究生学位论文第3 页 1 3l d a p 的实现及应用 l d a p 协议研究主要是为应用研究作基础，国内l d a p 数年前就成功应用于 免费邮件领域，但服务器软件的开发缺乏成功的例子。 1 3 1 服务器实现 l d a p 最初是由密执安大学提出，该大学同时推出了一个免费的l d a p 服务 器( 现在早己停止开发) ，它就是o p e n l d a p 的前身。o p e n l d a p 是自由软件， 包含一套服务器、许多客户端软件和a p i 库函数。o p e n l d a p 遵守协议规范比 较严格。在广泛应用中，它的性能和可靠性受到肯定。因此o p e n l d a p 是研究 l d a p 的实现的绝好途径，研究它为实现自己的服务器给出了不可多得的参考 对象。 l d a p 目录服务的的实现，既要考虑一般网络服务器的共同课题，例如网络 通讯、进程间通讯和错误处理等，更重要的是由于l d a p 协议对服务器提出的 种种要求如何通过代码满足。这使得l d a p 服务器远比h 订p 和f t p 之类服务 器复杂。自由软件中l d a p 服务器除了o p e n l d a p 外，目前只有一个基于j a v a 的功能并不完整的服务器软件j l d a p 可以利用，但是近一年开发停滞不前，尽 管该软件使用了有版权限制的第三方类库为基础来简化和加速开发。 国外i b m 、s u n n e t s c a p e 、n o v e l l 、t i v o l i 和m i c r o s o f t 等大公司推出了若干 商业版的l d a p 服务器产品，国内以往还没有真正开发过l d a p 服务器。1 5 8 1 鉴于国内一直缺乏被用户和市场广泛接受的服务器产品( 不只是目录服务， 其它网络应用也缺少成功的例子) ，尽管关于目录服务器代码分析的研究资料缺 乏，工作繁杂，却有着巨大的应用价值。 论文研究o p e n l d a p 的实现，一方面为今后开发新服务器或者改进已有软 件打下技术基础，另一方面这样才能真正了解l d a p 协议。在o p e n l d a p 数十 万行代码中，本文最关注的是s l a p d ( 服务器守护进程) 启动和运行涉及的部分， 它是代码中最复杂的部分，占据全部代码一半以上的份量。读懂o p e n l d a p 代 码，一是了解目录服务器的主要设计思路和大致框架，作为今后自主开发的参 考，二是了解它如何处理代码实现中大量具体的技术细节，今后开发可以取长 补短。 1 3 2 l d a p 的应用研究 目录服务的应用非常广泛，已经制定出的规范中定义了个人、组织、国家、 西南交通大学硕士研究生学位论文第4 页 网络服务( 如邮件和加密认证) 、计算机系统等各种对象在l d a p 中如何表示， 并且规定了如何自行扩展可表示对象的范围。在邮件系统、身份认证和授权等 领域l d a p 已经得到广泛应用。 l d a p 的轻量级特性大大拓展了目录服务的使用范围，因为l d a p 对客户端 要求较低，未来嵌入式设备和掌上电脑有可能也使用目录服务作为一项重要的 信息和数据储存与获取途径。由于软硬件水平的提高和任务日益复杂，嵌入式 系统功能和结构正逐步向用计算机系统靠拢。使用适用于嵌入式设备的精简操 作系统，辅以简化的图形界面，使用类似通用系统的开发工具，并在通用计算 机上仿真完成大部分开发工作，这正逐渐成为嵌入式系统开发的发展方向。 随着p c 时代趋于结束，廉价、专用和日益强大的嵌入式设备会逐渐成为计 算机市场的主流，研究嵌入式设备应用大有可为。许多开发机构和个人对开放 源代码的g n u l i n u x 系统( 包括开发环境) 加以定制和改进，使之适用于嵌入 式或者实时环境，而且近两年国内外用于嵌入式l i n u x 的图形界面发展非常迅 速。由于在价格、功能、开发成本和适应性等多方面的优势，在与q n x 、 v x w o r k s 和w i n d o w s c e 的竞争中嵌入式l i n u x 有后来居上的势头。【3 ”，”l 为了研究l d a p 在工业控制和嵌入式系统的开发和应用，我以m i n i g u i l 5 4 5 7 ( 一个国内开发的具有国际影响的精简图形界面系统) 为基础为我自己设计的 一个试验性质的嵌入式通用l d a p 客户端软件提供图形界面。我开发这一软 件，同时使用l i n u x 、m i n i g u i 和l d a p ，考验在工控和嵌入式设备上使用l d a p 的目录服务的可行性和实际效果。 1 4 本文主要内容和结构 整篇论文围绕l d a p 地展开研究，且的是为发展和应用该协议提供一个相 对完整的开发框架和基础。但是目录服务从深度和广度两方面内容都极为丰富， 实际上只能选取一些比较有代表性和实用性的部分加以讨论。从科技期刊的公 开讨论来看，国内的研究还缺少将l d a p 相关的各个协议集中讨论，给出一个 完整清晰实用的阐述：l d a p 服务器开发基本上无所作为；在应用方面已经有 了一些成功的实例，所以论文考虑工业控制领域的特殊需要，从嵌入式设备的 角度研究l d a p 的应用。这些思路构成了论文的主题，在随后章节陆续详细讨 论。论文共分为5 章( 含绪论) ，分别介绍如下： ( 1 ) 第一章为绪论，简要介绍国内外目录服务特别是l d a p 的研究和应用 西南交通大学硕士研究生学位论文第5 页 现状，并由此导出论文所要研究的主要问题，介绍了论文主要内容。 ( 2 ) 第二章整体介绍了目录服务，给出了它的定义、目标和目录服务的发展 过程。本章特别重点介绍了l d a p 的前身和基础x 5 0 0 系列标准，从而阐述了 目录服务的一些核心结构和概念。为了弥补x 5 0 0 的不足之处，i e t f 制定了一 个更受欢迎的目录服务协一l d a p ，本章最后大致介绍了l d a p 的起源和特点。 ( 3 ) 第三章首先分析l d a p 的核心部分协议，将l d a p 错综复杂的协议要 素归纳清理，理清其脉络和关键细节，为实现与应用奠定基础。接着分析网络 的对象如何在l d a p 目录中表示。作为将来网络管理的关键技术，论文特别研 究了d e n 如何将网络管理的策略模型映射到目录中。 ( 4 ) 第四章分析o p e n l d a p 源代码，由于目录服务协议的比较复杂，服务 器部分代码约5 兆字节。既需要分析服务器编程一般性问题，也要研究 o p e n l d a p 如何实现目录服务协议特有的各种数据和操作等。这些问题互相交 织，与第三章协议分析紧紧相扣。本章最后讨论改进o p e n l d a p 的主要方法。 ( 5 ) 第五章研究在嵌入式设备上应用l d a p 。l d a p 的客户端一般功能规范， 对系统资源要求低。在此背景下我开发的m i l a e 是一个可以用于类似掌上电脑 环境的l d a p 客户端软件。m i l a c 使用一个主要基于f r a m eb u f f e r 的精简图形库 m i n i g u i ，运行在各种使用嵌入式l i n u x 的设备上。 由于论文涉及到的目录服务方面的专业名词大部分都没有标准或者公认的 中文翻译，为了避免歧义或者理解困难，这些专业名词一般使用英文原文表述。 西南交通大学硕士研究生学位论文第6 页 2 1 概述 第二章目录服务 随着网络与信息技术的迅速发展，网络对企业经营、个人日常生活逐步全面 渗透，网络上信息数量急剧增加，同时网络用户在日常工作与生活中也日益依 赖网络。这就要求用户和网络应用程序能够及时、方便和廉价地查询、定位和 获得网络资源和用户和相关信息。正是由于网络以分布式方式存储信息，其迅 速发展给这一目标的实现带来困难。小型局域网用户可以很容易标识本地资源， 但在企业范围和全球范围，标识并定位用户和资源就复杂得多。 目录服务( d i r e c t o r ys e r v i c e ) 是查询网络资源的首选手段，许多网络技术已 经将目录服务作为其基础，例如d e n ( d i r e c t o r y e n a b l e n e t w o r k ) 和a d s ( a c t i v e d i r e c t o r ys e r v i c e ) 。l d a p 作为且录服务领域最重要的标准，成为目前企业级 网络应用的关键技术之一，d e n 和a d s 都使用l d a p 作为其通讯手段【2 4 ) 。 网络使用名字、地址和路由等基本信息用于定位用户或资源，通过目录服务， 用户能在网内或网间( 如i n t e m e t ) 寻找网络资源。 目录服务是为了方便管理网络信息和资源和用户和应用程序获取信息和资 源的需要建立的，一般包括在一个中心位置主要由一个中心管理者来管理的名 字和地址服务，同时支持以分布式方式提供服务。它能够以通用的格式和方式 实现信息查询和共享，即为用户提供资源和地址的清单。几乎所有主要的分布 式网络系统厂商现在都已经或正在实现目录服务。o s f d c e 、a p p l e 、b a n y a n 、 d e c 都在自己产品中将目录服务作为一个基础部分，提供相应用户界面和编程 接口。n e t w a r e 目录服务( n d s ) 实现了一个兼容x 5 0 0 规范的分布式目录服 务。该服务能对网上所有用户、服务器和一个全局数据库资源保持跟踪。当网 络管理员和用户需要管理或使用网上对象和服务时，就可以访问该数据库。但 是这些目录服务技术包含过多封闭性的专有技术，在以t c p i p 为基础的互联网 等开放性技术占优势的今天，其影响逐渐减小。 目录服务可以命名、描述和指定用户和资源，从而简化通信与管理：它可以 使用户通过简单的搜索查找资源及其他用户；它可以帮助管理人员收集和控制 散布与该机构的信息，并可以使他们更宏观地审视这些信息。目前基于目录服 西南交通大学硕士研究生学位论文 第7 页 务的各种网上应用越来越多。 目录包含记录特定对象的信息，是网络上根据用户的某些信息查找到另一些 信息的一种公共查询服务。目录服务按它们用来查找信息的方法可分为描述性 命名服务和基本命名服务。基本的名字服务要求用户知道它所想联系的对象的 名字，而数据库只提供所要求的地址。描述性命名的服务让用户用已知的名字 查找或用特殊的属性搜索。 2 2x 5 0 0 的概况 为了实现全球分布式目录服务，c c i t t 制定了基于i s o o s i ( i n t e m a t i o n a l s t a n d a r d so r g a n i z a t i o n o p e ns y s t e mi n t e r c o n n e c t i o n ，国标化标准组织开放系统 互连标准) 的目录服务标准x 5 0 0 。由于实现和使用过分复杂，x 5 0 0 一直没有 得到预期的广泛应用。现在i t u ( i n t e r n a t i o n a lt e l e c o m m u n i c a t i o nu n i o n ，国际 电信联盟) 还在继续x 5 0 0 的修订。x 5 0 0 以i s oi s 9 5 4 5 和i t ux 5 0 0 的联合 i s o i t u 国际标准为基础。1 9 8 8 年，发布了x 5 0 0 的第一个版本，介绍了x 5 0 0 的概念、模型、访问协议等目录服务的基本功能描述1 9 9 3 年形成了x 5 0 0 标准 的第二个版本，增加了目录复制、授权管理、访问控制机制等内容。x 5 0 0 ( 1 9 8 8 ) 和x 5 0 0 ( 1 9 3 3 ) 在许多方面不同，三个最主要的区别是( 参考、目录复制、访 问控制) ，然而在最重要的方面保持一致，如内部的连接和运行。口7 j 第三版于1 9 9 7 年发布 3 2 - 3 6 1 ，现在第四版也已经接近完成。x 5 0 0 曾被认为是实现目录服务的最 好方法。 互联网也需要目录服务。域名服务( d n s ) 是一个用于名字服务的全球性分 布式分层数据库系统，但不是查询用户和资源的完全的结构化系统。互联网可 以使用f i n g e r ，w h o i s ，n e t f i n d 这些用户命令进行查询工作。互联网上 还有其他用于寻找信息工具，如g o p h e r 、a r c h i e 、w a i s ( 广域信息服务) 甚至w w w ，但它们都有自己专门的应用范围。因此i s 0 o s i 的x 5 0 0 曾经被 作为互联网的首选目录服务标准。 x 5 0 0 是一个庞大的计划，它提出了一个将分布在各地的目录服务器连接成 为一个全球性的分布式目录服务的体系结构。每个目录服务器都拥有一部分数 据库，通过称为目录系统代理( d s a ：d i r e c t o r ys y s t e ma g e n t ) 的服务器对用户 提供服务。数据库的维护工作是由各d s a 在本地完成的。全球性的目录服务对 用户来说是位置透明的。它最初与x 4 0 0 电子函件标准连接紧密。 西南交通大学硕士研究生学位论文 第8 页 2 2 1x 5 0 0 标准主要内容 x 5 0 0 标准的可以从以下五方面阐述，其中最关键的是目录模式和信息模 式。 目录模式： 目录模式主要内容是关于目录的宏观形式。x 5 0 0 用分布式的方案达到全球 目录服务的目的，其指导思想就是将当地信息保存在当地的一个或多个目录服 务代理d s a ( d i r e c t o rs e r v e ra g e n t ) 中，也有可能一个d s a 存放多个组织的信息 d s a 本质上是一个数据库，其信息必须按x 5 0 0 标准存放并且具备与其它d s a 交换数据的能力。 x 5 0 0 定义了d i t ( d i r e c t o r yi n f o r m a t i o nt r e e ，目录信息树) 体系结构。x 5 0 0 中的信息是依据d i t 来组织的，它有一个唯一的根节点，它代表了全球目录。 从根目录( 世界) 开始逐层向下：世界一国家一机构一个人( 或资源) 。d i t 是一个虚 拟的层次数据库，每个d s a 是全球目录的一部分，并且能够被查出。 目录的用户可以是一个人或应用程序，用户通过d u a ( d i r e c t o r y u s e r a g e n t ， 目录用户代理) 请求目录服务。d u a 自动地联接d s a ( d i r e c t o r ys y s t e m a g e n t ， 目录系统代理) ，并根据d i t 返回用户欲查询和游览的信息d u a 可以有各种界 面实现。x 5 0 0 是描述性命名的服务。 目录访问服务概述 一、 目录 叫本地 产套 炉 弋夕 图2 - 1x 5 0 0 的工作方式 如图所示，用户通过d u a 访问目录，d a p ( d i r e c t o r y a c c e s sp r o t o c o l ，目 录访问协议) 是d u a 向d s a 请求服务所用协议，各d s a 通过目录系统协议 d s p ( d i r e c t o r y s y s t e m p r o t o c 0 1 ) 的协调向目录用户提供目录服务。在请求服务 前，d u a 与目录建立联接( b i n d ) ，若联接成功，d u a 就可以通过远程操作的 西南交通大学硕士研究生学位论文第9 页 调用请求目录服务。 每次请求得到结果、引用或错误。如果当地d s a 不能获得服务，或通过其 它d s a 更容易获得服务，则返回一引用。如果请求不能执行，则返回一错误。 当不再有其它请求时，d u a 就解除与目录的联接。如果x 5 0 0 服务器无法回 答客户机的请求，则它必须将请求链接到另一个x 5 0 0 服务器。与那些原始的 目录服务比较，x 5 0 0 提供更有效检索功能组件。 信息模式： 除了目录模式外，x 5 0 0 标准定义了用于目录服务中的信息模式，即各种信 息在目录中的表示。网上的用户和资源称为对象( o b j e c t s ) 。目录中的所有信息 都存贮在e n t r y ( 入口、项目) 中，每个项目都属于一类对象类。每个条目由 属性组成，属性有类型和相应的值，条目中的实际信息由属性决定。具有相同 特性的项目组成一个对象类，每个对象类的定义中描述该类型必须具备和可选 的属性和值而项目包含o b j e c t c l a s s 属性，它标识了条目所属对象类。 x 5 0 0 是一个分层结构，它有很多行政区域( 组织、分部、部门和工作组) ， 它提供了每个区域内的用户和资源的信息。x 5 0 0 定义一个机构如何在一个企 业的全局范围内共享名字和与它们相关的对象。x 5 0 0 不仅提供有关个人和机构 信息，它还可以用来提供有关网络资源、应用系统或硬件等方面的信息。一个完 整的x 5 0 0 系统称为一个目录。 命名： x 5 0 0 采用了基于属性的描述性名字在基于属性的名字组成中，有若干相对 可区分名( r d n ) ，每个r d n 都是一组属性，用属性类型和属性值表示在x 5 0 0 标准中，要求r d n 按次序出现，其顺序结构基于目录信息树( d i t ) 。d i t 上为 每个结点一e i n r y 一指定了一个r d n d i t 中的每一结点，用从根到该结点的唯 一路径来命名这样的名字称为可区分名( d n ) ，它是由出现在这条路径上的所 有结点的r d n 串联而成的因此应使d i t 扁平而不是细长，这样可使d n 不致 太长。d i t 中登记项的d n 专用名在d i t 子树同层中是唯一的 信息存贮 x 5 0 0 标准没有描述如何在d s a 上分配目录信息，但是排列在d i t 树状结 构中的条目可以按地理分布和组织关系分布在服务器中。对应于d i t 单个结点 的信息( 如国家、组织和个人) 的登记项不能分配在几个d s a 上，然而在d i t 结点上下节点的信息能贮存在不同的d s a 上。x 5 0 0 目录信息存贮在d i b 西南交通大学硕士研究生学位论文 第10 页 以用内存或数据库实现。e n t r y 在d i b 中的储存是非结构化的。d i b 中的实体称 为对象，或者说e n t r y 中包含了关于对象的信息，正因为如此，e n t r y 被区分为 不同的o b j e c tc l a s s ( 对象类) ，一个e n t r y 可以属于一个以上的对象类。e n t r y 和 对象类的概念和特性被l d a p 完全继承下来。要注意的是，d i b 的对象和现实 世界的事务并不一定一一对应。 x 5 0 0 中，对象被组织成树形结构，这种结构模仿了一个机构的组织形式。 例如，表示一个公司的部门或分支的对象从目录树的根处分支出来。其中有一 些称为组织机构对象( o r g a n i z a t i o n a lo b j e c t ) 的类型( 它们能够包括其它对象) ， 组织机构对象可以包含诸如组织机构单元对象( o r g a n i z a t i o n a l u n i to b j e c t s ) 或公 用名称对象( c o m m o nn a m eo b j e c t s ) 。组织机构单元对象定义一个分支或部分的 子分支，而一个公用名称对象是指表示物理实体，如人、打印机、服务器的端 点结点。从这一点可以看到目录信息存储和目录的信息模式密切相关。 一个目录的每个分支代表一个分支机构和部门，它们实际上是在不同的地理 区域的。d i b 的主备份是存放在其中的单一地点的。虽然远程用户可以访问这 个d i b 的主备份，但是这在广域网环境是很低效的。因此，在这个目录树中这 个d i b 被分解成分区，并且这些分区是存放在每个地点的服务器上的。只有相 关的分区被复制到每个地点。当用户需要对象的信息时，首先查询本地的分区。 如果在本地分区不能获得所需的信息，就通过广域网来查询这个主d i b 。这种 策略有助于降低长途费用，缩短访问时间，并且通过将d i b 复制到其它地点间 接地提供了一种备份效果。 安全机制 x 5 0 0 存贮的信息通过访问控制使部分公开信息( 如地址) 对外可见，而一 些内部信息仅在组织内可见。但由于d i t 的定义，在一个组织的公共信息必须 和世界其它地方一致，内部的应用程序可使用它们自己的d i t 结构和属性( 只 有在组织内可见) ，因此需要有访问控制。当用户联结d s a 后，用户要告诉d s a 其可区分名，这样d s a 可验证用户。用户必须告诉d s a 用户的口令，在国家、 组织及个人都要有口令，自愿存取控制表示允许用户给予其它用户访问自己控 制数据的权限。访问控制列表( a c l ) 用来提供自愿访问控制。d i t 的每个结 点都有a c l 。x 5 0 0 的目标是使全球网上的所有用户都可采用目录服务。i n t e r a c t 上数以百万计用户可以交换电子函件，并能搜索与i n t e m e t 相联网络上的可用服 西南交通大学硕士研究生学位论文第”页 务。然而，许多机构并不准备将其内部职员和资源清单提供给外界。因此，企 业之间目录服务和x 5 0 0 标准因为这些问题只被有限地接受。 在分布式环境下，安全机制与复制、分布机制关系密切。 复制和分布 因为目录服务对网络的定位服务至关重要，所以它必须总保持运行。有些目 录服务采用了复制和分区方法，将数据库或它的一部分存储在多个位置的多个 服务器上。地理上分散的网络可以从复制中获益。因为用户有了一个本地的数 据库备份，而不必再通过广域链接访问远地数据库。复制方法还保证某个目录 服务系统出错时，本地的数据库备份依然可用。 分布对于大型数据库有用，它可将数据库的各部分存储在不同的计算机上。 对于广域网，数据库一般按地理位置分区。例如总部在甲地的公司，其乙地分 部可将自己分区中的信息存储在自己的服务器上。而整个数据库的备份在总部 目录中存放并维护。任何对整个数据库或分区信息的改动都自动拷贝到其它分 区中去。 数据库的复制和分布提出了一个同步问题。即一个数据库的改动应尽可能快 地反映到复制的库上。幸运的是，为用户方便提供一系列服务的目录数据库能 容忍为得到其最新信息而引起的几秒钟延迟，而不象其它类型的分布式数据库， 如联机事务处理系统那样敏感。 2 2 2 x 5 0 0 的主要特征： 1 ) 分布式服务：一个大的组织可以把它所管理的信息分布在几个d s a 上。 2 ) 灵活性：除了公共的目的外，x 5 0 0 也可以用于特定的私有目录服务应用， 一个组织内的信息在内部应用时可以使用自己的d i t 结构，和自己的对象类和 属性定义( 属性值在组织内的部分可见) 。x 5 0 0 的基本结构能用于公共和私有 两方面。 3 ) 统一的全球名字结构特征。 4 ) 结构化信息模型 由以上特征可以看出x 5 0 0 适合于提供全球统一的目录服务，作为一种高度 标准化的目录服务，x 5 0 0 理论上有很好的发展前景。但由于建立和维护x 5 0 0 的代价高昂，目前实施的范围有限。但是x 5 0 0 目录服务标准为目录服务提供 了一个模式，后来的目录服务大都遵循其基本设计。 2 7 , 3 2 - 3 6 西南交通大学硕士研究生学位论文第12 页 2 3l e a p 的出现 x 5 0 0 标准的庞杂导致影响了其应用，为了解决这一问题i e t f 制定了轻量 级目录访问协议- - l d a p 。l d a p 基于x 5 0 0 标准，但是简单并且可以根据需要 定制。作为对目录信息的访问( 查询、读取、修改) 协议，它简化了目录服务 的使用。l d a p 的核心规范在r f c ( r e q u e s tf o rc o m m e n t s ) 中定义，但有相当 部分使用了x 5 0 0 的规定，特别是一些基本的概念。严格地说，l d a p 不是数 据库而是用来访问存储在目录中的信息的协议，l d a p 服务器是用来处理查询 和更新l d a p 目录的，并以数据库方式查询它。通过使用l d a p ，可以在信息 目录中读取或存储数据。通过l d a p 被访问的目录是数据库，l d a p 的目录不 是关系型数据库，它主要是优化数据读取的性能。 l d a p 主要使用x 5 0 0 标准的两个组成部分：信息模型一它确定了信息格式 ( 特别是从用户视角观察的模式) ；名称空间，用于索引和引用信息。访问 x 5 0 0 目录需要特定的协议，例如d a p 。然而，d a p 需要大量的系统资源和支 持机制来处理复杂的协议。l d a p 通过仅包含原始x 5 0 0 目录访问协议的功能 子集来减少必需的系统资源。 l d a p 也基于客户机服务器模式，许多x 5 0 0 中d a p 客户机的必须的 重要资源交由l d a p 服务器处理。l d a p 服务器只能向客户机返回结果或错 误，而很少发请求给客户机。 l d a p 一般是在t c p 或t l s 的连接上提供对目录的访问。1 1 1 l d a p 协议是跨平台的和标准的协议，可以在任何计算机平台上，很容易获 得的而且数目不断增加的l d a p 的客户端程序访问l d a p 目录。而且也可以定 制应用程序为它加上l d a p 的支持。因此，l d a p 得到了业界的广泛认可。 l d a p 服务器可以用“推”或“拉”的方法复制部分或全部数据，并用简单 或基于安全证书的安全验证。 l d a p 允许你根据需要使用a c l ( a c c e s sc o n t r o ll i s t ，访问控制列表) 控 制对数据读和写的权限。这些都是由l d a p 目录服务器完成的。【l l 】 l d a p 对于分布存放但是不需要经常更新的数据访问最为适宜。例如，公 司员工的记录和组织结构图，客户的联系信息，计算机设施管理所需要的信息， 公用证书和安全密匙等。因为专门为读的性能进行优化，大多数的l d a p 目录 服务器并不适合存储需要经常改变的数据。 l d a p 在表示网络元素时承认互联网的松散耦合特性，并不试图给出一个统 西南交通大学硕士研究生学位论文 第13 页 一的名字空间。 l d a p 可以使得过去杂乱无序的网络资源和信息管理呈现出一种树状的有 序体系，不但使i n t c r n e t 资源的管理和控制变得易于进行，而且同时提高了各种 信息和资源的使用效率，l d a p 用1 0 的代价实现了x 5 0 0d a p9 0 的功能。 目前，l d a p 在i n t e r n e t 上的应用越来越广泛。 3 h 西南交通大学硕士研究生学位论文 第14 页 第三章l d a p 协议分析 尽管l d a p 最初是作为x 5 0 0 的访问协议而推出的，实际上现在大多数 l d a p 服务器是作为一个独立的服务器存在的。 l d a p 协议是由一系列不断发展的标准和草案构成的，现在最新的版本是 l d a p v 3 。从r f c 2 2 5 1 开始，l d a p v 3 逐步发展起来，目前大约有2 0 个有效r f c 。 另外还有草案的大约有7 0 个。一些标准草案已经被当前的软件广泛采用或者本 身就是从主流软件中归纳而来，例如关于ca p i 的草案已经被在的许多l d a p 软件中得到实现，正逐步取代更正式的相对应的r f c 。1 1 5 1 l d a p 采用复制模式实现数据的分布式存储。关于复制的r f c 标准目前还 只有草案。 另外i t u 和i s o 的还为l d a p 提供了a s n 1 语法、b e r 编码以及x 5 0 0 目 录服务等辅助标准。特别是x 5 0 0 ，包含许多目录服务的概念和规范，l d a p 作 为x 5 0 0 的延伸承认x 5 0 0 这些协议，因此本身的文本中没有对这些协议的部 分内容再次定义。