LDAP元素规范与应用.doc

FEITIAN WE BUILD SECURITYLDAP元素规范与应用信息部 当前版本：v1.0 修改日期：2011-525 作 者：王兵旺 目录一、 概述3二、 ldap元素解读3三、 ldap常用元素53.1常用元素53.2目录规范5四、ldap元素自定义71、 概述本文仅描述ldap节点创建的方法及属性的匹配。通过剖析ldap的schema来讲解如何有效的产生目录节点，最后达到信息化建设与维护的目标。需要了解开源openldap的安装配置与协议请参考OpenLdap使用手册。2、 ldap元素解读openldap通过slapd.conf文件来引入所需的schema定义。整个schema主要描述了二大类元素：objectclass与attributetype。下面请跟我一起来解读两者之间的关联。对于objectClass来说，初学者不妨把它理解为数据库中的一个table，如此一来，attributetype就是table中的一个coloum（这样比较好理解）。与数据库中的table，coloum不同的是，ldap中的objectClass呈现一种类似与面向对象编程中的继承关系。objectClass在ldap中的具体表现形式就是诸多的对象类定义。如organization、country、person等等。每个对象类在声明语法中都会以下几个主要部分：1、SUP 2、MUST 3、MAYSUP表示当前objectClass继承于另外某个objectClass。ldap的objectClass能表示一种继承的上下关系，如SUP top STRUCTURAL表示top是顶层objectClass，当前的objectClass是“继承”top而来。STRUCTURAL是关键字。MUST表示当前objectClass如果被声明使用，必须同时声明指定的attributetype。如MUST o表示当前objectClass被声明时必须同时申明一个o的属性。注意有些objectClass要求必须声明多个attributetype。MAY表示当前objectClass如果被声明使用，可以声明也可以不声明指定的attributetype。需要注意的是一个objectClass被声明后，在进行声明attributetype时，attributetype的名称一定是在MUST与MAY指定的那些attributetype范围之中。比如一个objectClass，MUST指定为o，MAY指定为cn、text。则用户去声明一个名为teleNum的attributetype就会引起错误。最后总结一下，所有的objectClass与attributetype不是随意命名，它们都在引入的schema文件中定义。通过阅读schema文件你能大致了解它们的含义。请主要参考core.schema（最基本的）、cosine.schema、nis.schema（网络方面声明）。这三个文件都被初始至ldap。3、 ldap常用元素为了初学者更快更有效的学习并使用ldap。这里列出一些基本常用的objectClass与attributetype。一般情况下常用的元素能够满足用户的ldap目录建设与管理。3.1常用元素为了更好的了解objectClass与attributetype，在列表之前先举例说明元素的应用。以dcObject（一个objectClass）为例，它用于指定一个domain，必须声明的attributetype为dc，如下图图中申明了一个域，那么attributetype的所有声明中必须要有名为dc的Attribute。当然objectclass本身也会在内容中显示出来，但它并不是一个真正的Attribute，仅仅是显示当前包含有dcObject的objectClass。通过这个显示用户可以清晰的去查找当前是否有满足此objectClass的attributetype。下面提供了元素的列表，列表中objectClass的含义一般给出了描述，attributetype数目众多暂时不提供描述，用户可以在core.schema、cosine.schema、nis.schema文件中查找阅读对应的attributetype描述信息。 3.2目录规范介绍完常用的元素后，我们需要正确的使用它来构建目录服务管理。以下的一些规范可以作为应用参考。1、首先建立好ldap根目录，如图2、其次采用所有人员、机器、文件归属于公司部门的结构形式，如图如果需要表现人员、机器等隶属多部门，采用多个ou形式展示，如图 当然了，如果需要使用到ou这个attributetype，就一定要声明匹配的objectClass，所声明的objectClass中must和may指定有均是可以的。同理如果想表示此用户的机器IP，那么就得使用ipHostNumber这个attributetype了，对应就必须先声明了ipHost这个objectClass。3、目录元素的增加可以通过事先编写ldif文件进行ldap导入，也可以通过代码接口的形式访问ldap。在ldap建设完备之后，即可通过各平台、各语言的开发接口访问ldap数据来服务于各个业务系统。四、ldap元素自定义ldap元素的定义是指用户自定义schema文件，定义的文件后缀名为.schema。文件放至%openldap%schema目录下，并且在sldap.conf中加入引用语句include./schema/自命名.schema4.1schema定义schema是一组定义如何存储数据的规则，可以保证数据的一致性，降低重复数据，并保证应用程序可以有一个统一的数据接口4.2schema元素schema元素主要由以下四个要素：4.2.1objectClass定义一个类别，它说明了该目录应该有哪些属性，那些属性是必须的，那些是可选的。下面为objectClass可包含的信息1、 名称（NAME）必选2、 OID必选3、 说明（DESC）4、 类型（STRUCTURAL或AUXILARY）5、 必须属性(MUST)6、 可选属性（MAY）7、 其它信息例如objectclass ( 4 NAME MyobjectclassDESC user definedMUST cnMAY ( myUniqueName $ o) )其中4为objectclass标准oid，NAME是定义objectclass的名称，其它属性可选4.2.2attributeattribute声明用于包含在objectClass中。它包括1、名称（NAME）必选2、OID必选3、说明（DESC）4、匹配规则例如attributetype ( .1 NAME myUniqueName DESC unique name with my organization EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX .4.1.14.15 SINGLE-VALUE )从上面可以看出，objectclass与attributetype申明都有两个必须申明的属性，Name和OID。Name可以自命名，而OID可以参照原有X.500规范。自申明的objectclass可以MAY或MUST调用默认原有系统的attributetype，原有系统的objectclass也可以MAY或MUST调用自申明的attributetype。4.3OID上面通过自申明objectclass和attributetype可以看出OID是个必须提供的数据，OID究竟是什么4.3.1OID定义Object Identifier (OID)，是每一个模式元素的唯一标识符。因此OID值必须是唯一的，不可重复。OID可以通过向IANA机构申请，申请后OID则可以整个网络识别使用，用户也可以自已随意自已起一个数字，但这个shcema不能被互联网识别。如果仅仅是单位或组织或个人使用，可以不必申请OID。4.4attributetype语法表用于约束attributetype的值。Table 8.3: 常用的语法Name OID Description boolean .4.1.14.7 boolean value directoryString .4.1.14.15 Unicode (UTF-8) string distinguishedName .4.1.14.12 LDAP DN integer .4.1.14.27 integer numericString .4.1.14.36 numeric string OID .4.1.14.38 object identifier octetString .4.1.14.40 arbitary octets IA5String.4.1.14.26ASCII stringName and Optional UID.4.1.14.34DN plus UIDPrintable String.4.1.14.44printable stringTable 8.4: 常用的匹配规则Name Type Description booleanMatch equality boolean caseIgnoreMatch equality case insensitive, space insensitive caseIgnoreOrderingMatch ordering case insensitive, space insensitive caseIgnoreSubstringsMatch substrings case insensitive, space insensitive caseExactMatch equality case sensitive, space insensitive caseExactOrderingMatch ordering case sensitive, space insensitive caseExactSubstringsMatch substrings case sensitive, space insensitive distinguishedNameMatch equality distinguished name integerMatch equality integer integerOrderingMatch ordering integer numericStringMatch equality numerical numericStringOrderingMatch ordering numerical numericStringSubstringsMatch substri