什麼是LDAP?
LDAP(Light Directory Access Portocol)是一種協議,是以樹形結構來展示賬戶信息的一種方式。
通俗的說,就是不需要用關係型數據庫自己建表的方式來管理企業各部門的用戶信息。
結構:
公司 | 組織 | 員工 | DN值 |
---|---|---|---|
abcdefg | DC=abcdefg,DC=local | ||
財務部 | OU=財務部,DC=abcdefg,DC=local | ||
zhangsan | CN=zhangsan,OU=財務部,DC=abcdefg,DC=local | ||
lisi | CN=lisi,OU=財務部,DC=abcdefg,DC=local | ||
IT部 | OU=IT部,DC=abcdefg,DC=local | ||
wangyi | CN=wangyi,OU=IT部,DC=abcdefg,DC=local | ||
wanger | CN=wanger,OU=IT部,DC=abcdefg,DC=local | ||
子公司 | DC=sub_company,DC=abcdefg,DC=local | ||
… | … |
屬性:
注:可自定義屬性
屬性名稱 | 屬性值 | 含義 |
---|---|---|
DC | DC=abcdefg,DC=local | 域名 |
OU | OU=財務部,DC=abcdefg,DC=local | 部門或者組織名稱 |
DN(distinguishedName) | CN=itadmin,CN=Users,DC=abcdefg,DC=local | 用戶或者組或者組織或者域在樹中的絕對位置標記,唯一值 |
CN | CN=itadmin | 用戶或者組的名稱 |
userPrincipalName | [email protected] | 郵件地址,唯一值 |
例如:
使用場景
- 與微軟的office套件OSS登錄,例如exchange郵件服務器,office365服務器,當前計算機在域的樹下時,訪問郵件,可以直接免密登錄。
- 總公司與子公司的員工管理,域可以掛子域,將子公司的節點添加到總公司節點下,即可以直接查詢任意員工的電話及郵件地址。
- 第三方軟件的登錄,大型OA系統及各種管理軟件大多支持LDAP認證,即提供一套API供子系統使用,添加檢索範圍,即可實現快速登錄,不需要再開發一套登錄系統。
Windows2008R2 standard 安裝 AD 服務器
1.設定固定IP及DNS服務器地址
1.設定固定IP
2.DNS服務器地址設置爲本機
2 防火牆關閉
3 修改network的bios名稱
1.修改計算機在網絡上的名稱
2.保存設置,重啓計算機
4 安裝DNS服務
1.在服務器管理器中打開角色面板
2.添加角色
3.安裝DNS服務器
5 安裝Active Directory Lightwight server
6 創建域服務
注:這裏使用的測試公司名稱爲abcdefg,公司網絡域名爲abcdefg.local
7 更新組策略
8 添加新用戶及提升用戶至管理員權限
1.創建用戶:
2 提升用戶至管理員權限
9 使用 Apache Directory Studio 連接
Apache Directory Studio是Apache的LDAP的UI開發工具,可以對域上的任意節點進行增刪改查。
1.下載
2.連接AD域服務器
1.查詢itadmin用戶的DN值
10 OSS登錄過程
LDAP的認證是通過DN加用戶密碼來進行登錄認證的。
準備財務部門的zhangsan用戶(CN=zhangsan,OU=財務部,DC=abcdefg,DC=local),並且設定密碼爲1
登錄邏輯實現:
Step1:用戶輸入用戶名zhangsan,密碼爲1進行第三方系統登錄
Step2:
->
Step3:
STEP | 內容 | 返回值 |
---|---|---|
1 | 用戶輸入用戶名zhangsan,密碼爲1進行第三方系統登錄 | 連接到LDAP認證相關API |
2 | 使用默認管理員itadmin的DN及密碼進行LDAP登錄,在設定指定範圍內(例如整個DC(DC=abcdefg,DC=local))進行檢索sAMAccountName屬性爲zhangsan的用戶 | 返回zhangsan用的DN值(CN=zhangsan,OU=財務部,DC=abcdefg,DC=local) |
3 | LDAP認證相關API,使用zhangsan的DN值(CN=zhangsan,OU=財務部,DC=abcdefg,DC=local)加張三的密碼進行LDAP服務器登錄 | 登錄成功,查看相關權限,跳轉到指定權限畫面 |