在Linux上建立LDAP服務器(一)

你的網絡在規模和復雜性方面正處于成長期。一路傳播每件事物、發展壯大每件事物然后再丟棄每件事物將占用了它一生的時間。當你痛苦的雙手抱頭，試圖弄清楚的時候，你的用戶不知道從哪里發現了你的秘密電話號碼，他用無窮無盡的問題和要求來糾纏你——這就是我發現它的地方；我并不想記住一打不同的密碼；沒有工作應該是這樣子的。

目錄

LDAP能做什么
LDAP不能做什么
到數據庫或者不到數據庫
根和層
易于升級
ACIs的和ACLs
用戶認證
一塊卓越的奶酪
預告

幾種可能的方案中，考慮兩個：1)找到一個新的隱藏地點或者 2) 實現一個LDAP 服務器。盡管找到一個新的隱藏點聽起來很理想，他也只是一個我們留給以后的文章的主題。這個系列將會闡釋LDAP好在哪里，如何建立LDAP服務器的細節，以及你能用他做什么。

LDAP能做什么

簡要地說，LDAP提供了訪問、認證和授權的集中管理。他是很容易自定義的并且能夠：

·用戶和用戶組管理集中化

·信息存儲集中化

·設置安全和訪問控制

·安全委托讀取和修改權

·服務于幾乎所有平臺

·有效地縮放

LDAP不能做什么

·成為一個負載過重的關聯或交互數據庫

·成為一個文件系統

·在許多范圍內跳過高層結構

LDAP協議跨平臺、網絡意識強、并且基于標準。市場上現在有來自于各個投資商的各種各樣的LDAP實現。本系列將主要討論Linux 上的OpenLDAP 。

到數據庫或者不到數據庫

現在我們來當一回書生(請戴上你的討厭胡須和書生用的袖珍保護套)。LDAP——輕型目錄訪問協議——是一個協議，不是一個數據庫。它可訪問一種特殊類型的數據庫，這種數據庫為了快速閱讀而最優化。使用LDAP可得到相關的靜態信息，如公司目錄、用戶數據、消費者數據、密碼和安全鑰匙。OpenLDAP使用了Sleepycat Berkeley DB。說了這么多，我可不是一個老夫子，我只是很滿意調用它來運轉數據庫并且對它所作的工作很滿意。

LDAP 不是一個好的選擇，盡管有時你需要快速而頻繁的修改——例如為了零售后臺。它不是一個關聯數據庫如Oracle、 mySQL 或者 Postgres。實際上，它的結構與關聯數據庫有著天壤之別。與其將信息存儲在行列中，并且設置一組固定的索引和字段，還不如將數據儲存在屬性類型/屬性值對中。這種結構為設計記錄提供了巨大的靈活性。例如：一份特殊的用戶記錄不必重新設計整個數據庫就可以添加一種新的類型。任何類型的文本或者二進制數據都可以儲存。

根和層

LDAP目錄遵循熟悉的Unix文件系統結構——樹的頂部有根目錄，由根目錄分支成許多子目錄。典型設計就是一個公司只有一個主要的根目錄。然后根據部門、位置、功能，雇員的好壞等等對你來說有用和有意義的任何事物來組織子目錄。這不但是組織主目錄的一個很好的整理方法，它還允許你使用一種精確的、受約束的方式授予對中心數據池的特殊部分的訪問權。

下一步就是采用一種明智的方式分布比特。任何單獨的子目錄都可復制到其他地方——例如復制到它從屬的部門所在的服務器。在任何你喜歡的時間間隔內，對主目錄的更新可同步進行，它為用戶提供冗余和更快訪問，而且使得主服務器上的緊張程度降低。

更新可以根據指示開始進行——或者，如果你需要一個使用術語的理由，那就用"push" 或者 "pull."吧。例如：財政部可先更新他們的目錄，然后將更新推進到主服務器上——再次，節省了管理部門許多單調的而且不必要的勞動。它還保存了帶寬和系統資源。

易于升級

關于LDAP的分布式特征真正靈活的是你可以從小的開始。你可以采用一種限制性的方式來實現一個LDAP目錄，對他進行測試和懸掛，然后在空閑時間內輕而易舉地將它放大并遷移更多的功能把它上面。

ACIs的和ACLs

LDAP 訪問控制范例(ACIs)，共同形成了一個訪問控制清單 (ACL)，它允許非常細粒度的控制。下面是幾個簡單例子：

·用戶可以修改他們自己的個人信息——例如家庭住址、電話擴充、工作email等等——但是其他人不可以。

·某個特殊用戶的所有信息可保存在單獨的記錄中，但是對單項的訪問完全是可以配置的。

·給與經理確切級別的閱讀權和對于他們小組的讀/寫權利。它滿足的一個特殊需要就是給與經理充分的訪問權，以監督項目文件和報告，但是不給錢。

·允許小組或者小組領導判斷哪個人可以得到哪種他們控制下的資源訪問權。我絕對不喜歡被次要的瑣事如共享文檔和項目目錄所糾纏，放權給群眾好了。

·將密碼和用戶名以及其他敏感數據置于勤奮的系統管理員的嚴格控制之下。

用戶認證

LDAP支持SASL (簡單認證和安全層)，它合并了Kerberos、GSSAPI、和 DIGEST-MD。添加LDAP用戶認證到一個現有的網絡上一點也不可怕。有幾個非常好的設備可用來遷移PADL軟件(見Resources)提供的、你現有的用戶和密碼數據。

一塊卓越的奶酪

推薦在專注的、卓越的服務器上運行OpenLDAP。在一個更小的、低要求的網絡上你可以僥幸不使用共享服務器。在文檔化的過程中，你可以看到許多對slapd和slurpd的引用。Slapd是 LDAP daemon程序，而slurpd 則處理復制。