LDAP学习笔记.doc

LDAP学习笔记原理教程LDAP(轻量级目录服务访问协议，Lightweight Directory Access Protocol)基于X.500标准，支持TCP/IP，使用简单方便。现在越来越多的网络应用系统都支持LDAP。OpenLDAP是LDAP的一种 开源实现，本笔记基于OpenLDAP2.1.29。Table of Contents1. 目录服务简介1.1. X.500和LDAP1.2. LDAP产品1.3. 2. OpenLDAP安装笔记2.1. 源码安装2.2. 数据录入2.2.1. 手动录入方法2.2.2. 文件方式2.2.3. 脚本方式2.3. 常用命令介绍2.4. 启用sasl验证2.5. 配置复制服务器3. HowTo3.1. 禁止整个服务器的匿名访问Chapter 1. 目录服务简介Table of Contents1.1. X.500和LDAP1.2. LDAP产品1.3. 目录是一个为查询、浏览和搜索而优化的专业分布式数据库，它成树状结构组织数据，就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据 库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录天生是用来查询的，就好象它的名字一样。 目录服务是由目录数据库和一套访问协议组成的系统。类似以下的信息适合储存在目录中：企业员工和企业客户之类人员信息；公用证书和安全密钥；邮件地址、网址、IP等电脑信息；电脑配置信息。.1.1. X.500和LDAP现在国际上的目录服务标准有两个，一个是较早的X.500标准，一个是较新的LDAP标准。X.500是一个协议族，由一系列的概念和协议组成，包括：X.501是模型定义，定义目录服务的基本模型和概念；X.509是认证框架，定义如何处理目录服务中客户和服务器认证；X.511是抽象服务定义，定义X.500提供的功能性服务；X.518是分布式操作过程定义，定义如何跨平台处理目录服务；X.519是协议规范，定义了X.500协议，包括DAP(Directory Access Protocol，目录访问协议)、DSP(Directory System Protocol，目录系统协议)、DOP(Directory Operator Protocol，目录操作绑定协议)、DISP(Directory Information Shadowing Protocol，目录信息阴影协议 )；X.520定义属性类型要求；X.521定义对象类型；X.525定义如果在目录服务器间复制内容。X.500标准中定义了很多内容，包括：定义了信息模型，确定目录中信息的格式和字符集，如何在项中表示目录信息(定义对象类、属性等模式)；定义命名空间，确定对信息进行的组织和引用，如何组织和命名项-目录信息树DIT和层次命名模型；定义功能模型，确定可以在信息上执行的操作；定义认证框架，保证目录中信息的安全，如何实现目录中信息的授权保护-访问控制模型；定义分布操作模型，确定数据如何分布和如何对分布数据执行操作，如何将全局目录树划分为管理域，以便管理。定义客户端与服务器之间的通信的各种协议。由于X.500较复杂，且需严格遵照OSI七层协议模型。造成应用开发较困难。所以开发了LDAP，以便在INTERNET上使用。LDAP协议于1993年获批准，产生LDAPv1版，1997年发布最新的LDAPv3版，该版本是LDAP协议发展的一个里程碑，它作为X.500的 简化版提供了很多自有的特性，使LDAP功能更为完备，具有更强大的生命力。LDAP也是一个协议族，包含以下内容：RFC 2251-LDAPv3核心协议，定义了LDAPv3协议的基本模型和基本操作；RFC 2252-定义LDAPv3基本数据模式(Schema)(包括语法、匹配规则、属性类型和对象类)以及标准的系统数据模式；RFC 2253-定义LDAPv3中的分辩名(DN)表达式；RFC 2254-定义了LDAPv3中的过滤表达式；RFC 2255-定义LDAPv3统一资源地址的格式；RFC 2256-定义LDAPv3中使用X.500的Schema列表；RFC 2829-定义了LDAPv3中的认证方式；RFC 2830-定义了如何通过扩展使用TLS服务；RFC 1823-定义了C的LDAP客户端API开发接口；RFC 2847-定义了LDAP数据导入、导出文件接口LDIF。这些协议定义了LDAP的内容，包括：定义了一个信息模型，确定了LDAP目录中信息的格式和字符集，如何表示目录信息(定义对象类、属性、匹配规则和语法等模式)；定义了命名空间，确定信息的组织方式-目录树DIT，以DN和RDN为基础的命名方式，以及LDAP信息的Internet表示方式；定义了功能模型，确定在可以在信息上执行的操作及API。定义了安全框架，保证目录中信息的安全，定义匿名、用户名/密码、SASL等多种认证方式，以及与TLS结合的通讯保护框架；定义分布式操作模型，基于指引方式的分布式操作框架；定义了LDAP扩展框架。1.2. LDAP产品现在市场上有关LDAP的产品已有很多，各大软件公司都在他们的产品中集成了LDAP服务，如Microsoft的ActiveDirectory、 Lotus的Domino Directory、IBM的WebSphere中也集成了LDAP服务。LDAP的开源实现是OpenLDAP，OpenLDAP比商业产品功能一点也 不差，而且源码开发。1.3. Chapter 2. OpenLDAP安装笔记Table of Contents2.1. 源码安装2.2. 数据录入2.2.1. 手动录入方法2.2.2. 文件方式2.2.3. 脚本方式2.3. 常用命令介绍2.4. 启用sasl验证2.5. 配置复制服务器2.1. 源码安装我的安装方法是以源码编译的方式进行的，以root用户进行安装。安装所需软件如下：openldap-2.1.29Berkeley DB 4.2.52具体的安装步骤如下：由于openldap需要Berkeley DB来存放数据，所以需先安装Berkeley DB 4.2.52，可到它的网站下载，网址见上面。运行下面的命令解压：# tar -zxvf db-4.2.52.tar.gz解完压后，会生成一个db-4.2.52目录,进行该目录下的build_unix目录。执行以下命令进行配置安装。# ./dist/configure# make# make install也是按linux源码安装的三步曲完成，没有什么好说的了。该软件默认是安装在/usr/local/BerkeleyDB.4.2目录下。安装完成后， 要把/usr/local/BerkeleyDB.4.2/lib的库路径加到/etc/ld.so.conf文件内，添加完成后执行一次 ldconfig，使配置文件生效。这样编译openldap时才能找到相应的库文件。这样资料库就安装完成了，接下来可以安装openldap了。 ld.so.conf是什么东西？它就是系统动态链接库的配置文件。此文件内,存放着可被LINUX共享的动态链接库所在目录的名字(系统目录/lib, /usr/lib除外)，各个目录名间以空白字符(空格，换行等)或冒号或逗号分隔。一般的LINUX发行版中，此文件均含一个共享目录/usr /X11R6/lib，为X window窗口系统的动态链接库所在的目录。 ldconfig是它的管理命令，具体操作方法可查询man手册，这里就不细讲了。到openldap官方网站下载最新的稳定版源码，并解压。查看INSTALLT 和README文档，这个很重要，因为安装方法和一些注意事项都在里面有介绍。认真弄明白文档内容能节省你不少的安装调试时间。这也是开源软件的一个特 点，给用户提供了最大的灵活性和可配置性。但也增加了系统安装配置的难度，需要有相关的文档配置说明和指导。在官方网站上还有详细的帮助文件，在整个系统 配置中需要经常查询。# tar -zxvf openldap-stable-20040329.tgz解压完成后，会生成一个openldap-2.1.29目录。进行该目录，执行以下命令进行配置安装。# env CPPFLAGS=-I/usr/local/BerkeleyDB.4.2/include LDFLAGS=-L/usr/local/BerkeleyDB.4.2/lib ./configure -prefix=/usr/local/openldap -enable-ldbm 注意以上配置语句，要设置资料库的include和lib路径，否则在配置到资料库相关内容时会提示Berkeley DB版本不兼容，并中断配置。如果没有-enable-ldbm选项，在make test时会提示ldbm找不到。为了减少出错，还是加上为好。#make depens#make#make test在make test阶段要花费较长时间进行测试，好像有16项吧。你可以放松一下，上上网，聊聊天，听听歌，呵呵，开玩笑了，这个时间应该是最紧张的了。成与不成就 看这下的了，如果没问题就可安装了。#make install通过配置命令可以看出，我们把openldap安装到/usr/local/openldap目录下。建议以源码安装的软件都放到独立的目录下，不要放到 软件默认的目录。好处是方便管理和控制，所有文件在统一的目录下，卸载软件只要删除整个目录就可以了。安装完相关软件后就可以着手配置了。Berkeley DB资料库没什么好配置的。主要是配置openldap 服务。配置文件在软件的安装目录的etc/openldap下，有四个文件，主要的是slapd.conf and ldap.conf，其它两个是backup文件。首先，我们先来配置slapd.conf文档。系统默认的slapd.conf文件如下：# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 2003/05/24 23:19:14 kurt Exp $# # See slapd.conf(5) for details on configuration options.# This file should NOT be world readable. # include /usr/local/openldap/etc/openldap/schema/core.schema#设置schema配置文档包含# Define global ACLs to disable default read access.# Do not enable referrals until AFTER you have a working directory# service AND an understanding of referrals.#referral ldap:/pidfile /usr/local/openldap/var/slapd.pid #设置pid和args文档位置argsfile /usr/local/openldap/var/slapd.args# Load dynamic backend modules:# modulepath /usr/local/openldap/libexec/openldap# moduleload back_bdb.la # moduleload back_ldap.la# moduleload back_ldbm.la # moduleload back_passwd.la# moduleload back_shell.la# Sample security restrictions # Require integrity protection (prevent hijacking)# Require 112-bit (3DES or better) encryption for updates# Require 63-bit encryption for simple bind# security ssf=1 update_ssf=112 simple_bind=64# Sample access control policy: # Root DSE: allow anyone to read it# Subschema (sub)entry DSE: allow anyone to read it# Other DSEs: # Subschema (sub)entry DSE: allow anyone to read it# Other DSEs:# Allow self write access# Allow authenticated users read access# Allow anonymous users to authenticate# Directives needed to implement policy:# access to dn.base= by * read# access to dn.base=cn=Subschema by * read# access to *# by self write# by users read# by anonymous auth# if no access controls are present, the default policy is:# Allow read by all# rootdn can always write!# ldbm database definitions#database bdb #设置使用的资料库，也可用lbdm。suffix c=my-domain,dc=com #设置目录后缀rootdn cn=Manager,dc=my-domain,dc=com #设置目录管理员# Cleartext passwords, especially for the rootdn, should# be avoid.See slappasswd(8) and slapd.conf(5) for details.# Use of strong authentication encouraged.rootpw secret #设置管理密码，这里用了明文的“secret”密码。这样设置不安全，需使用加密的密码，下面会讲到如何设置加密密码。# The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd and slap tools.# Mode 700 recommended.directory /usr/local/openldap/var/openldap-data#设置资料库路径# Indices to maintainindex objectClass eq #设置目录项索引要服务器正常动作，要修改一些始初参数和设置，修改后的配置文档如下：# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 2003/05/24 23:19:14 kurt Exp $# See slapd.conf(5) for details on configuration options.# This file should NOT be world readable.#为了有效使用目录服务，包含相关的文件。注意，在包含文件时是要按一定顺序的，因为#文件里的属性存在依赖关系。如果顺序不对，服务器启动不了，文档间的依赖关系在文档#中都有说明，请仔细查看一下。如果懒得看也可以按我的顺序。include /usr/local/openldap/etc/openldap/schema/core.schemainclude /usr/local/openldap/etc/openldap/schema/corba.schemainclude /usr/local/openldap/etc/openldap/schema/cosine.schemainclude /usr/local/openldap/etc/openldap/schema/inetorgperson.schema include /usr/local/openldap/etc/openldap/schema/misc.schema include /usr/local/openldap/etc/openldap/schema/openldap.schemainclude /usr/local/openldap/etc/openldap/schema/nis.schemainclude /usr/local/openldap/etc/openldap/schema/samba.schema# Define global ACLs to disable default read access.# Do not enable referrals until AFTER you have a working directory# service AND an understanding of referrals.#referral ldap:/pidfile /usr/local/openldap/var/slapd.pidargsfile /usr/local/openldap/var/slapd.argsloglevel 1 #增加了日志功能，需修改syslog配置文件，在文件中增加一项：local4.* /var/log/ldap.log日志级别定义可查相官方网站的文档。#1级记录的信息很多，可用于调试。# Load dynamic backend modules:# modulepath /usr/local/openldap/libexec/openldap# moduleload back_bdb.la# moduleload back_ldap.la# moduleload back_ldbm.la# moduleload back_passwd.la# moduleload back_shell.la# Sample security restrictions# Require integrity protection (prevent hijacking)# Require 112-bit (3DES or better) encryption for updates# Require 63-bit encryption for simple bind# security ssf=1 update_ssf=112 simple_bind=64# Sample access control policy:# Root DSE: allow anyone to read it# Subschema (sub)entry DSE: allow anyone to read it# Other DSEs:# Allow self write access# Allow authenticated users read access# Allow anonymous users to authenticate# Directives needed to implement policy:# access to dn.base= by * read# access to dn.base=cn=Subschema by * read# access to *# by self write# by users read# by anonymous auth# if no access controls are present, the default policy is:# Allow read by all# rootdn can always write!# ldbm database definitions#database bdbsuffix c=it,dc=com#改成你自已的目录后缀，rootdn cn=root,dc=it,dc=com#设置root为管理员，与linux的root没有什么关系。# Cleartext passwords, especially for the rootdn, should# be avoid.See slappasswd(8) and slapd.conf(5) for details.# Use of strong authentication encouraged.rootpw MD5mjkiuPt0wXhpxxkdiOOO+0000000AKq0by#设置root密码，用MD5加密。密码串用slappasswd -h MD5指令# The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd and slap tools.# Mode 700 recommended.directory /usr/local/openldap/var/openldap-data # Indices to maintainindex objectClass eq#这里可根据你的需要设置相关索引，以加快查询速度。具体内容可查询官方网站管理手册。#ACL configure以下内容定义访问控制access toattr=userPassworduserPassword#只能由自已修改，有效验证用户查询。 by self write by anonymous authaccess to attr=mail by dn=cn=root,dc=it,dc=tigerhead writemail#只能由自已修改，有效验证用户查询。 by self write by anonymous authaccess to dn=.*,dc=it,dc=tigerhead#允许所有人查询没受控制访问限制的信息。 by self write by * read到现在为止，服务器基本就配置完成了，可以启动了，服务器程序是位于安装目录的libexec下的slapd程序。注意，不是sldap哦。ok，到现在 为止，服务器基本就配置完成了，可以启动了，服务器程序是位于安装目录的libexec下的slapd程序。注意，不是sldap哦。启动服务器执行以下 命令：# ./slapd如果没有提示什么出错信息，直接返回shell状态，就说明服务器正常启动了，你可以查询日志或用ps -aux查看。或用以下命令查询服务器:ldapsearch -x -b -s base (objectclass=*) namingContexts如果命令执行成功，返回一些信息，则说明服务器正常运行了。如果启动不成功，它会提示一些出错信息，多数是slapd.conf配置出错。回头仔细核查一 下配置文档。客户端配置文档是ldap.conf。该文档相当简单，其实不和配置也能正常操作。# $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.9 2000/09/04 19:57:01 kurt Exp $# LDAP Defaults# See ldap.conf(5) for details# This file should be world readable but not world writable.BASE dc=it, dc=com设置目录起点#URI ldap:/ ldap:/:666#SIZELIMIT 12#TIMELIMIT 15#DEREF never2.2. 数据录入服务器正常运作后，就可以录入信息了。信息的录入有三种方法，一种是手工录入，一种是.ldif文件格式录入，一种是脚本自动录入。我们先从最基础的手工 录入方式开始介绍，了解录入信息的格式。明白了手工录入的格式，其它两种方式都很容易明白。信息录入用到ldapadd这个程序。可在安装目录的bin目 录下找到。2.2.1. 手动录入方法第一步是要建立DN：# ldapadd -x -D cn=root,dc=it,dc=com -Wdn: dc=it,dc=comobjectClass: dcObjectobjectClass: organizationdc: ito: Corporationdescription: d Corporation注意：如果你用复制/粘贴功能把以上内容拷贝过去，一定要注意每行后面不要有空格。第二步是建立RDN:# ldapadd -x -D cn=root,dc=it,dc=com -W -x表示用简单验证，-D表示指定目录，-W表示弹出密码输入提示输入密码，这里的密码是cn=root的密码，不是操作系统root用户的密码。验证通过后就可输入以下内容：dn: uid=qq,dc=it,dc=comobjectClass: personobjectClass: organizationalPersonobjectClass: inetOrgPersonuid: qqcn: qqsn: qqtelephoneNumber: 138888888description: openldap testtelexNumber: tex-8888888street: my streetpostOfficeBox: postofficeboxdisplayName: qqdisplayhomePhone: home1111111mobile: mobile99999mail:输入完所有信息后，按Ctrl+d结束存盘。如果出现出错信息，请查一下对象类和属性的对应关系有没有错或输入失误。初学者就容易出错的地方是对象类和属 性的对应关系没有处理好。对象类和属性是在schema文档中定义的。它们之间的关系是这样的，对象类中有些属性是必选的，有些属性是可选的。录入信息的 属性必须在对象类中有定义才能用。输入以下命令可查询到刚才输入的信息。# ldapsearch -x -b dc=it,dc=com -b选项是设置目录起点，如果设置了客户端的BASE配置参数，该项可不用。如果按以上配置文件设置了acl，用上面的查询命令是查询不到受保护的内容的。如上面的userPassword and mail。要查询到这些受限内容，需要通过验证才可以：# ldapsearch -x -LLL -h -b dc=it,dc=com -D uid=qq,dc=it,dc=com -W uid=qq接着提示输入密码。输入userPassword的密码回车，所有信息就都出来了。2.2.2. 文件方式.ldif文件方式也就是把以上手工输入的内容先写入一个.ldif文件中，然后，用ldapadd命令的-f参数导入。# ldapadd -x -D cn=root,dc=it,dc=com -W -f test.ldif一个完整的global.ldif文件例子：dn: dc=info, dc=netobjectClass: topobjectClass: organizationo: dn: ou=People, dc=info, dc=netobjectClass: topobjectClass: organizationalUnitou: Peopledescription: User Infodn: cn=Admin, dc=info, dc=netobjectClass: topobjectClass: personobjectClass: organizationalPersoncn: Adminsn: AdminuserPassword: Admindescription: Administrator for dn: id=1, ou=people, dc=info, dc=netobjectclass: topobjectclass: InfoPersonid: 1username: 张三telard_id:ABC001再次提醒，注意每行后面不要留有空格。 2.2.3. 脚本方式脚本录入方式需要自已编写脚本，或到网上下载。有一个用PHP写的LDAP管理工具不错，叫phpLDAPadmin。可以到以下网址下载：。 安装方法也很简单，只要解压出来，拷贝到apache的web目录下，按说明配置一下设定文档,就ok了。2.3. 常用命令介绍接着为大家介绍一下几个常用的ldap命令，如果你用了phpLDAPadmin程序，其实它已经有一个很好的图形介面帮你完成这些命令了。但了解一下还 是对你还是很有益的，因为命令方法才是最根本的。删除命令ldapdelete# ldapdelete -x -D cn=root,dc=it,dc=com -W uid=qq1,dc=it,dc=com设置使用者密码，当然了，你的用户需要有userPassword项了。#ldappasswd -x -D cn=root,dc=it,dc=com -W uid=qq1,dc=it,dc=com -S New password: Re-enter new password: Enter bind password: Result: Success (0)Enter bind password 是 cn=root,dc=it,dc=com管理员的密码。 管理员密码更改 #slappasswd New password Re-enter new password SSHA83DJ4KVwqlk1uh9k2uDb8+NT1U4RgkEs 接下再拷贝到 path/to/sldap.conf 的 rootpw 即可,重启使用配置文件生效通过ldapmodify修改目录内容# ldapmodify -x -D cn=root,dc=it,dc=com -W -f modify.ldif通过ldif文件修改ldap数据，ldif文件格式如下：dn: cn=qq,dc=it,dc=comchangetype: modifyreplace: mailmail: -add: titletitle: Grand Poobah-add: jpegPhotojpegPhoto: file:/tmp/modme.jpeg-delete: description-2.4. 启用sasl验证前提是你在系统中安装了sasl认证库，并在编译openldap时支持它，默认就支持了。到/cyrus下 载。安装方法见我写的sendmail安装笔记。安装好之后，需要在sasl中建立相应的帐号，用以下命令可完成。# saslpasswd2 -c test接着配置slapd.conf文件，加入以下内容。sasl-regexp uid=(.*),cn=.*,cn=auth uid=$1,dc=it,dc=com重启服务器使配置文件生效。这个配置是最大权限的配置，如果要细化请查阅相关文档。用以下命令测试。# ldapsearch -U qq-b uid=qq,dc=it,dc=com -D dc=it,dc=com -Y DIGEST-MD5采用digest-md5验证,提示密码，输入saslpasswd2的密码。2.5. 配置复制服务器由于没有配置两台服务器，所以还没有测试。Chapter 3. HowToTable of Contents3.1. 禁止整个服务器的匿名访问3.1. 禁止整个服务器的匿名访问在slapd.conf配置文件中加入disallow bind_anon即可。理解与应用LDAP服务器(前段时间一直在做LDAP+POSTFIX相关项目，先把关于LDAP的一些经验写出来，一来可能会帮助一些人，二来对我自己所学知识也是一个巩固。)先声明：我写的只是我对LDAP的一些理解，如果我的理解错误，那就是对兄弟们的误导。所以你可以直接看文章的结尾提供的几个网址。关于LDAP的概念随便网上有很多，我不想重复，这里只是说一下我自己的理解。都说它是“轻量级目录协议”，太专业，我不懂，我只把它想象成“简单”的目录协议。几个很重要的概念，以后会用到：-dn ：一条记录的位置dc ：一条记录所属区域ou ：一条记录所属组织cn/uid：一条记录的名字/ID-实际上更多时候我只把它看成数据库。我把它和我非常熟悉的MYSQL数据库做比较， 通常会得到更好的理解：MYSQL用“表”储存数据，LDAP用“树”MYSQL指定一条记录要3个条件：DB、TABLE、ROW。LDAP却更自由，为什么呢？因为LDAP数据是“树”状的，而且这棵树是可以无限延伸的，假设你要树上的一个苹果（一条记录），你怎么告诉园丁它的位置 呢？当然首先要说明是哪一棵树（dc，相当于MYSQL的DB），然后是从树根到那个苹果所经过的所有“分叉”（ou，呵呵MYSQL里面好象没有这 DD），最后就是这个苹果的名字（uid，记得我们设计MYSQL或其它数据库表时，通常为了方便管理而加上一个id字段吗？）。好了！这时我们可以 清晰的指明这个苹果的位置了，就是那棵“歪脖树”的东边那个分叉上的靠西边那个分叉的再靠北边的分叉上的半红半绿的，晕了！你直接爬上去吧！我还是说 说LDAP里要怎么定义一个字段的位置吧，树（dc=waibo,dc=com)，分叉（ou=bei,ou=xi,ou= dong），苹果（cn=honglv），好了！位置出来了：dn:cn=honglv,ou=bei,ou=xi,ou=dong,dc=waibo,dc=com一个有名的画家说过：“世上没有相同的2个鸡蛋”。当然也没有相同的2个苹果，同样，在LDAP里也不可能存在2个相同的dn。LDAP数据填充原理：一棵树的生长，要循序渐进，如果还没有长出某个分叉，就不可能在那个分叉里长出苹果（问：FT！苹果是长在分叉上的吗？答：为了便于理解，你就当它是 吧），同样，LDAP数据库也要一步步的充实，举一个学校数据库的例子，我们将要把一个庞大的学生档案放到LDAP里，大致需要这么做：-1、建立“树根”，这是通过修改“slapd.conf”来实现的，由于现在的目的是理解，所以具体步骤就不说了，反正就是在这一步建立了一个“dc= ourschool,dc=org”这样一个“树根”。注意：我把它理解成“目录”，或者“容器”，甚至它本身也是文件（苹果）的特殊形式，熟悉LINUX文件系统的朋友会更容易理解。2、建立18个系，分别是“dnu=computer,dc=ourschool,dc=org”、 “dnu=film,dc=ourschool,dc=org”3、当然是在每个系里面建立专业，比如“dnu=linux,ou=computer,dc=ourschool,dc=org”4、（开始长苹果吧！）加学生喽?“dn:cn=stan,ou=linux,ou=computer,dc=ourschool,dc=org”5、已经完成了吗？对了！学生的详细信息还没有呐！不过先这样吧，反正记录是可以编辑的。-LDAP记录的详细信息dn:cn=stan,ou=linux,ou=computer,dc=ourschool,dc=orgobjectClass：organizationalPersoncn:stancn:小刀sn:小刀description:a good boy（以上是一条记录的信息，如果把他保存成LDIF文件，可以导入到LDAP数据库中）上面不是说没有学生详细信息吗？怕你着急，就马上写出来了，只是还没有导入到LDAP里，那是以后的事。这里我先就你可能会产生的疑问做回答。-Q1：“cn”不是在“dn”里定义了吗，怎么又在后面重新定义了？ 答：你要把“cn=stan,ou=linux,ou=computer,dc=ourschool,dc=org”看成是一个整体，它只是属性dn的 值。Q2：怎么后面有2个“cn”，我以哪个为准？ 答：区别于普通数据库，LDAP每