[转]常用LDAP Server
2007-03-11 09:32:41
大中小
随着存储技术的不断进步,越来越多的公司采用LDAP Server存储数据,其高效和方便性使得其成为实现NGN必不可少的技术之一。
下面是关于几种常用的LDAP Server的简单介绍。
1,openldap 2.X:
OpenLDAP Project由一个志愿者小组组成,其下载地址是http://www.openldap.org/software/download/。
.(1). 支持LDAPv3 - OpenLDAP 2.0 除了其它改善外还支持SAS(SimpleAuthentication and Security Layer)、TLS(Transport Layer Security)以及SSL(Secure Sockets Layer)。LDAPv2 之后通讯协议很多的改变都是为了加强LDAP 的安全性。
(2). 支持IPv6 - OpenLDAP 支持新一代的因特网通讯协议第6 版。
(3). LDAP Over IPC - OpenLDAP 能够使用IPC 在系统内进行通讯。这可以避免使用网络通讯以增加安全性。
(4). 使用新的应用程序界面:改善程序设计人员联机及使用程序的方法。
2,openldap for win32
与openldap2.X的功能基本一样,只是安装在windows下面的,有关其文档介绍和下载地址请看
http://lucas.bergmans.us/hacks/openldap/。
3,IBM Directory Server 5.1
IBM Directory 实现了 Internet Engineering Task Force (IETF) LDAP V3 规范,在功能和性能方面做了改进。IBM Directory Server 5.1 使用 IBM DB2 作为存储支持,为每个 LDAP 操作提供了事务完整性、高性能操作以及在线备份和恢复功能。
IBM Directory Server 是作为独立式常驻程式执行的 (LDAP)目录。在 WebSphere Portal 环境中,此目录可存储、更新及获取与识别的使用者特定资料,例如使用者 ID 及密码。
4,iPlanet(SUN directory)
iPlanet适于实现外联网的全球目录服务器。iPlanet Directory Server 为管理大量用户信息的企业,提供用户管理基础服务。iPlanet Directory Server 能够与现存的系统集成,并发挥中央仓库的作用,以适应合并雇员、客户、供应商和伙伴的需要,适应保存信息,保存各种灵活的个性化用户概况和优先选择需要,适应外联网用户验证需要。在托管环境中,伙伴、客户和供应商能够管理他们自己的那部分目录,从而减少内部管理成本,并有利于保障提供精确的最新信息.并具有简化外联网应用开发;目录特性增强可用性;与企业系统相集成;减少管理成本;LDAP v2 和 v3 的实现;高性能服务器;灵活的复制模式; 先进的安全特性;高可用性;可扩展体系结构。
5,微软活动目录(AD)
微软活动目录(AD)是Windows 2000操作系统平台的中心组件之一,是一种完善的、适应性强的目录服务,它允许用户进行很高程度上的修改以便满足特殊的商业和机构需求。
活动目录可以让企业有效地共享和管理网络资源和用户信息。此外,活动目录担当网络安全的管理中枢,允许操作系统方便地验证用户身份并控制其对网络资源的访问。同样重要的是,活动目录还担当集中系统和合并管理任务的集成点。使用活动目录服务的好处:为网络管理员、开发者和用户提供了访问目录服务的能力;简化管理任务 ;加强网络安全性; 通过互操作使用现存网络 。
6,Novell eDirectory:
Novell eDirectory 与许多开放标准和新兴标准是兼容的。它得到了 Open Group 的 LDAP 认可表示符合轻量目录访问协议版本 3 (LDAP v3) 标准。eDirectory 还支持可扩展标记语言 (XML)、目录服务标记语言 (DSML)、简单对象访问协议 (SOAP) 和许多其它开放标准。这一特性可以帮助企业实现其技术投资的最大化并避免“受制”于任何特定提供商的产品。同样重要的是,eDirectory 真正支持多平台:它运行于 Linux、Windows、Solaris、AIX、NetWare 和 HP-UX 上,因此 eDirectory 是在异构网络中提供身份服务的理想方案。 Novell eDirectory 是一种支持 Lightweight Directory Access Protocol (LDAP)、基于目录的身份管理系统,它对用户身份、访问特权和其他网络资源实行集中管理。eDirectory 可帮助公司以领先于对手的速度将产品和服务推向市场,在因特网经济中占据竞争优势。
7,Sun ONE Directory Server 5.2
Sun" ONE Directory Server 5.2 是功能强大且具伸缩性的分布式目录服务器,它基于符合工业标准的轻型目录访问协议 (LDAP)。
Sun ONE Directory Server 软件是 Sun Open Net Environment (Sun ONE) 的组成部分,后者是 Sun 推出的基于标准的软件界面、体系结构、平台和专门技术,用于构建和部署按需服务。Sun ONE Directory Server 是构建集中化与分布式数据库的基础,这样建立的数据库可用于内部网,也可跨越外联网从而实现与商业合作伙伴共享数据资源,或者可跨越公用 Internet 做到与客户进行交流。
8,IBM secureWay
===========================================
异构环境下的Single Sign On 解决方法 http://www.cnblogs.com/jeet/archive/2005/03/30/128288.html
在Microsoft平台Single Sign On(单点登录)的解决方案中,大多数是采用Active Directory(活动目录)来实现。但在现实的环境中,很多企业出于各种各样的原因(或者是原来用的是Unix、Linux的环境,或是原来有其它的目录服务)而不愿使用AD服务。这样一来,当使用.net技术来做EAI的时候,会碰到一个问题,怎么样才能实现统一的用户管理与授权?采用数据库的方式,需要维护不同系统中的用户映射,管理不便,实现也较为麻烦。Jeet最近做的一个项目就碰到一个问题,用户原来的BI系统采用的Sun的目录服务,并要求我们所做的系统整合需要与LDAP集成的单点登录,实现用户的统一认证与授权。
本来以为使用System.DirectoryServices就可以很容易的实现访问LDAP服务器,没想到 System.DirectoryServices只适合于以LDAP方式表示访问Microsoft的AD,根本不能做到访问其它LDAP标准的服务器。
JAVA有因为其实跨平台的特性,对LDAP的支持是生来俱有的,但.net不知是否微软有意不提供对其它LDAP服务器的支持。没有办法只能自己找解决方法。多亏了jeet一向喜欢的Novell公司,提供了LDAP Libraries for C#,有基于MIT License的源代码,让我们有可能在.net下操作LDAP服务器,支持Linux与windows平台,是实现EAI不错的选择。因为LDAP Libraireis for C#需要Mono.Security,所以要先安装Mono,可以到http://www.mono-project.com/Main_Page下载最新的版本的mono并安装。在使用时Jeet碰到一个有趣的问题,下载了一个据说是稳定版本的1.0.6,但在编译LDAP Libraies的代码时却报错,搞了半天才知道是因为mono的问题,重新下载Mono 1.1.4版本把Mono.Security.dll引入工程终于可以成功编译。
结合LDAP Libraries的示例代码与自己的实现方法,成功为客户实现了基于LDAP服务器的单点登录安案。
=============================================
LDAP技术报告
一、目录和目录服务
LDAP(Lightweight Directory Access Protocol)轻型目录访问协议是目录访问协议的一种。因此下面首先介绍什么是目录和目录服务。
目录是一个以一定规则排列的对象的属性集合,是一个存储着关于对象各种属性的特殊数据库,这些属性可以供访问和管理对象时使用,类似电话簿和图书馆卡片分类系统。这里,我们所谈的目录服务是指网络目录服务。目录服务是指一个存储着用于访问、管理或配置网络资源信息的特殊数据库(also called data repository),它把网络环境中的各种资源都作为目录信息,在目录树结构中分层存储,对这些信息可以存储、访问、管理并使用。网络中的这些资源包括用户、各个应用系统、硬件设备、网络设备、数据、信息等。目录服务是为有效的集成管理网络目录中的信息提供服务,是支持网络系统的重要底层基础技术之一。
目录服务将分布式系统中的用户、资源和组成分布式系统的其它对象统一的组织起来,提供一个单一的逻辑视图,允许用户和应用透明地访问网络上的资源。一个由目录服务支持的网络系统是一个集成的、网络化的、统一的系统,而不是各个独立功能部分的简单聚合。在目录服务系统中对象可以根据名字或功能、属性访问,而不是根据机器地址、文件服务器名字和mail地址等访问。在目录服务的基础上开发的应用,易于使用、功能增强和易于管理,目录信息的共享为应用的开发提供了方便。下一代分布式网络的信息模型和模式是一种基于目录的,当我们进入网络时,是登录到一个基于目录的网络中,而不是登录到某个机器上。
目录服务可以存储信息种类:
用户帐户信息(登入名、口令、权限)
用户个人信息(电话号码、地址、雇员ID号)
外围设备配置信息(打印机、调制借调器、传真)
应用程序配置信息
安全信息
网络基础设施配置信息(路由器、代理服务器、INTERNET访问设置)
人们可以想得到的,网络目录中都可以存储
这些信息集中在一个标准数据库中,就可以有多种不同的使用方法。其中,最普通的是供系统管理员用于网络访问控制和网络资源访问控制。目录将成为对许多网络活动进行集中控制的地方。
控制的例子:
用户登入进入一个网络,系统进行认证和权限判定;
用户进入网络后,访问网络中的资源,系统向目录服务查询该用户是否具有使用该资源的权限,并返回所请求资源的物理地址。
个人用户可以使用目录服务存储个人设置信息,并可以对其所有环境进行集中存储和控制。
随着目录服务技术的成熟,人们可以使用该技术通过一些网络设备监视和控制网络传输情况。
目录服务的基本功能:
资源信息的目录式表示、分布存储、资源定位和查找、用户的统一认证、系统资源的统一授权、系统资源信息的共享、系统资源的单点统一管理、安全传输的保证、资源的统一监控等。
目录服务的主要优点:
网络管理工作大大减轻,包括管理网络上的各个应用;
网络的集中管理点;
访问用户信息的集中控制点;
存储在其它条件下很难处理的管理信息
系统资源信息的利用率高、管理的可扩展性好
简单地说,目录的发展经历了书面目录(电话目录、医士列表)——基于计算机的目录(PIM,不易共享、必须访问到响应的软件和计算机)——网络目录(公共的、共享的、统一的)。
传统的目录是计算机或网络基础结目录的一个构件,它向其它应用程序提供服务,但没有提供集成管理的机制,网络上的计算和服务需要一种公共的、分布式的目录,能够跨平台地对应用程序和用户提供集中、统一的服务。目录服务将使网络上的系统资源管理朝着单一的、全网络的目标发展,并能够让用户、管理员以更容易的方式来管理网络环境。目录服务作为一种工具来减少大型网络的管理负担,提供了集中的单点管理和适应复杂环境所必须的灵活性,减轻了非目录服务系统中存在的冗余管理。
通过网络资源逻辑接口,目录服务(ADS)减少了人们为了利用网络功能而必须对网络掌握的程度。也就是说,普通用户只需要很少的网络知识,就可以通过复杂网络访问和使用资源。用户不需要再了解资源的物理分布,访问本地打印机的方法和访问远程网络资源的方法相同。目录服务(ADS)提供了逻辑表示与资源的网络上的物理位置的连接,从用户的角度看,这可能是转移到基于目录的网络操作系统具有的最大优点。)
目录服务和数据库的区别:
读多于写
一般不支持事务处理
信息访问方式不同(一个是SQL、一个是LDAP的API)
目录中的信息一般不要求严格的一致性
传统的数据库是平面的,无法表示资源之间及资源使用控制的复杂逻辑关系而远远不能满足当前资源信息管理的各种要求。
目录服务与DNS系统的相同之处和不同之处
相同之处:
分布存储
树型层次结构
容错
不同之处:
DNS的功能和目录服务不同,DNS功能单一,本质上是将主机名解析成IP地址。目录服务是可以为多个应用提供网络资源的信息存储和管理,具有广泛的应用特性;
DNS是以一系列文本文件为基础,是一种纯文本式的数据库,无法进行扩展,适应其它功能的要求;
与分布式文件系统的相同在于采用了准树型层次结构,具有一定的授权功能,区别在于:
目录服务表示资源的各种属性信息,可为各种应用提供服务,文件不能表示;
目录服务有很强的逻辑表示和分类,文件的组织逻辑性单一,主要按存储位置;
文件系统的认证功能较差
独立性强
目录服务的应用举例
C4ISR系统:由多个大的子系统构成,管理问题更为复杂和严重
新的应用:电子商务(IBM)、操作系统(WINDOWS2000)
网络的监控管理
会议系统和PIM
搜索功能
太多的应用——基于目录的应用
原有应用的资源管理的重新开发