OpenLDAP
objectClass的嚴格等級之分,最頂層類是top和alias. organizationalPerson這個objectClass隸屬於Person,而Person有時top的子類
objectClass大致分爲三類:結構型(person和organizationUnit)、輔助型(extensibeObject)和抽象型的
在LDAP上創建數據庫
如"通用數據庫指令"一節中所述,這個選項定義了由這個數據庫保存的條目.你應該把這個選項設置爲你準備創建的目錄子樹的根DN
比如: suffix "dc=example,dc=com"
你應該確保指定一個索引文件所在的目錄
directory<directory>;
比如:directory /usr/local/var/openldap-data,你需要擁有足夠權限創建該目錄以使slapd可以使用它
配置slapd以便能夠以一個有權限添加條目的目錄用戶連接到這個服務器上。可以把目錄配置成支撐超級用戶或者根用戶的形式
rootdn<dn>; ==> rootdn "cn=Manager,dc=example,dc=cm"
rootpw<passwd>; ==> rootpw secret
這兩個選擇指定一個DN和口令來驗證曹家用戶條目,無論條目和口令是否在數據庫中實際存在,這裏指定的條目和口令都會起作用。
c:國家;
cn:common name 指一個對象的名字;如指人
dc:domain Component 經常用來指一個域名的一部分,如: dc=mydomain,dc=org
l:指一個地名,如一個城市或者地理區域的名字
mail: 電子信箱地址
o: organizationName指一個組織名字
objectClass 一個Ldap server要想啓用必須能夠認識每一個對象Attribute,Objectclass Attribute正是用來描述一個對象應該有的Attribute以及可選Attribute
因此對每個objectClass模板的Attribute中必然含有一個objectClass Attriubte
ou:organizationUnitName 指定一個組織單元的名字
sn:surname:指一個人地姓
telephoneNumber: 電話號碼應該帶有所在的國家的代碼
uid:userid 通常指一個人地登錄名
六、什麼是schema
LDAP中,schema用來指定一個目錄中所包含的object的類型(objectClass) 以及每個objectClass中的各個必備mandatory和可選optional 的屬性。因此,schema是一個
數據模型,它被用來決定數據怎麼被存儲,被跟蹤的數據時什麼類型。存儲在不同的entry下的數據之間的關係。schema需要在主配置文件slapd.conf中指定
以用來決定目錄中使用到的objectClass。管理員可以自己制定schema.一般包括屬性定義AttributeDefinition、類定義ClassDefinition以及語法定義SyntaxDefinition
等部分。
七、對象標示符(Object identifiers)
對象標示符(OID) 是被ldap內部數據庫應用的數字標識。Attribute的名字是設計爲方便人們讀取的。但爲了方便計算機的處理。通常使用一組數字來標識這些對象。
這類同於SNMP中的MIB2.例如,當計算機接收到dc這個Attribute時。它會將這個名字轉換爲對應的OID: 1.2.4.2.234.22.3.4.2
八、使用LDAP做身份驗證
驗證主要使用確定一次會主中客戶端用戶使用的權利。即使用確定用戶能登陸以及登陸具有使用哪些資源以及如何使用資源的權限。驗證過程中的修改,查詢等操作由認證級別
來控制。objectClass中的person可以用來做linux系統登陸的身份認證。此時需要制定userPassword的屬性值。即指定用戶登陸時用的密碼
