手把手教您配置Liunx目录服务器 （1）

近几年，随着LDAP（Light Directory Access Protocol，轻量级目录访问协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的最好选择方案，特别是在网络资源查找、用户访问控制和认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和能够扩展的系统。

　　对于任何一家大IT网络的企业来说，IT系统中的目录服务功能是必不可少的。假如一个在全国有多个分支机构的企业，已有了一个内部网络系统，每一个分支机构都有一个局域网，局域网之间通过专线或VPN通道连接在一起，那么，如何将网络中的资源和信息有效地管理起来呢？通常，这个企业能够在每一个分支机构或每个城市建立一个目录服务器，任何地方的员工连接到本地目录服务器就能够访问到目录树中任何的信息，在目录服务器之间复制目录信息，以保持同步。比如，人事部门看到的人员目录和财务部门、设备管理部门看到的人员目录是完全一致的，他们所使用的应用系统无须再建立另一套目录结构。当然，这一切都是要经过身份验证的。

　　目录服务有着如此重要的作用，但在过去，企业通常采用基于Windows的目录服务器，Linux在这方面相形逊色。作为Windows的核心内容，目录服务被企业IT人员认为是Windows和Linux相比最具竞争力的部分，也成为Linux产品架构中的软肋。随着Red Hat Enterprise Linux 4.0出现，这个情况已改变了。RHEL 4 内附的LDAP 服务器为OpenLDAP 2.2.13-2 版，OpenLDAP 2.x包括数个重要功能：

　　1. 支持LDAPv3 - OpenLDAP 2.0 除了其他改善外还支持SASL（SimpleAuthentication and Security Layer）、TLS（Transport Layer Security）连同SSL（Secure Sockets Layer）。LDAPv2 之后通讯协议很多的改变都是为了加强LDAP 的安全性。

　　2. 支持IPv6 - OpenLDAP 支持新一代的因特网通讯协议第6 版。

　　3. LDAP Over IPC - OpenLDAP 能够使用IPC 在系统内进行通讯。这能够避免使用网络通讯以增加安全性。

　　4. 使用新的应用程式界面： 改善程式设计人员联机及使用程式的方法。

　　本文将以Red Hat Enterprise Linux 4.0 为例，介绍在Linux平台使用OpenLDAP上建立目录服务器。

　　一、LDAP协议简介

　　LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特别的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都很简单。这种目录能够存储包括个人信息、web链结、jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访问协议—LDAP。 LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录；条目是具备区别名DN （Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于关系数据库表中的关键字（Primary Key）。属性由类型（Type）和一个或多个值（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type能够有多个Value，而不是关系数据库中为降低数据的冗余性需要实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置和组织关系进行组织，很的直观。LDAP系统结构图见图1.

图1 LDAP系统结构图

此外，LDAP支持对条目能够和必须支持哪些属性进行控制，这是有一个特别的称为对象类别(objectClass)的属性来实现的。该属性的值决定了该条目必须遵循的一些规则，其规定了该条目能够及至少应该包含哪些属性。例如： inetorgPerson对象类需要支持sn(surname)和cn(common name)属性，但也能够包含可选的如邮件，电话号码等属性。dn ：一条记录的位置；dc ：一条记录所属区域；ou ：一条记录所属组织；cn/uid：一条记录的名字/ID。OpenLdap是个正在得到日益普遍应用的开源软件，和LADP完全兼容。