導航

• • 寫在前面
  • 理解OpenLDAP的順序
  • • 目錄服務
    • 應用層協議
    • LDAP&X.500協議
    • OpenLDAP
  • OpenLDAP是什么？
  • OpenLDAP能干什么？
  • 總結

寫在前面

自從接觸到OpenLDAP之后，其使用就令我苦不堪言，使用過程中遇到了各種問題，在網上搜索資料大多也已經過時，或者與現在版本的OpenLDAP配置不符，只有參考意義，需要根據文章理解自行修改。

思來想去，只好靠自己學習這個OpenLDAP，奈何學術淺薄，只能參悟些許皮毛，若有錯誤不足之處，還望提醒指出，切莫生氣，多多包涵。

本系列文章參考自網絡，再加上個人理解所寫，希望能幫到你。

理解OpenLDAP的順序

如果只是知道概念，我覺毫無意義，就比如說：OpenLDAP是什么？輕型目錄訪問協議。

就那么簡單的一句話就告訴了他是什么，但我們要知道的是更加深層的關系和理解，所以在此之前要知道很多概念。

目錄服務—>應用層協議—>LDAP&X.500協議—>OpenLDAP

目錄服務

目錄服務（英語：Directory service）是一個儲存、組織和提供信息訪問服務的軟件系統，在軟件工程中，一個目錄是指一組名字和值的映射。（簡單點說是提供文件存儲與檢索的軟件系統，一個目錄指其中所有數據與其對應名稱的映射）

目錄服務遵循LDAP和X.500協議。

應用層協議

應用層（英語：Application layer）位于OSI模型的第七層。應用層直接和應用程序接口結合，并提供常見的網絡應用服務。應用層也向第六層表示層發出請求。

注：以下為常見應用層協議

LDAP&X.500協議

X.500是計算機目錄服務的標準系列。最早是ITU-T X.500開發，前身為CCITT（ITU的前身）的目錄服務系統，并于1988年首次批準，此一目錄可以成為全球目錄服務標準的一部分。

X.500協議包括：

DAP (Directory Access Protocol)
DSP (Directory System Protocol)
DISP (Directory Information Shadowing Protocol)
DOP (Directory Operational Bindings Management Protocol)
LDAP (Lightweight Directory Access Protocol)

LDAP：輕型目錄訪問協議（英文：Lightweight Directory Access Protocol，縮寫：LDAP，/??ld?p/）是一個開放的，中立的，工業標準的應用協議，通過IP協議提供訪問控制和維護分布式信息的目錄信息。

目錄服務在開發內部網和與互聯網程序共享用戶、系統、網絡、服務和應用的過程中占據了重要地位。例如，目錄服務可能提供了組織有序的記錄集合，通常有層級結構，例如公司電子郵件目錄。同理，也可以提供包含了地址和電話號碼的電話簿。

LDAP的一個常用用途是單點登錄，用戶可以在多個服務中使用同一個密碼，通常用于公司內部網站的登錄中（這樣他們可以在公司電腦上登錄一次，便可以自動在公司內部網上登錄）。

LDAP基于X.500標準的子集。因為這個關系，LDAP有時被稱為X.500-lite。

OpenLDAP

OpenLDAP是輕型目錄訪問協議（Lightweight Directory Access Protocol，LDAP）的自由和開源的實現，在其OpenLDAP許可證下發行，并已經被包含在眾多流行的Linux發行版中。

注：基于LDAP協議實現的開源服務軟件

它主要包括下述4個部分：

slapd - 獨立LDAP守護服務
slurpd - 獨立的LDAP更新復制守護服務
實現LDAP協議的庫
工具軟件和示例客戶端

OpenLDAP是什么？

通過以上理論可得知，目錄服務是基于應用協議X.500實現的，而LDAP是X.500協議中的子協議之一，OpenLDAP則是基于LDAP協議的開源服務軟件。

不要把LDAP和OpenLDAP搞混了，前者是一個協議，后者是基于這個協議的服務。

個人覺得頗有套娃的韻味在沒搞清楚關系前直接接觸OpenLDAP，大多數都會一臉懵，我也是在知道OpenLDAP相關的理論關系后，才弄清楚他是干什么的。因此在說明OpenLDAP之前先對其相關理論進行了說明。

OpenLDAP能干什么？

首先，先列出一個典型的運維問題案例：

某運維進入一家公司，負責公司內部代碼交付環境的運維，在了解一段時間后發現，架構中的GitLab，confluence，jenkins，artifactory都各自有一套用戶體系，很多開發人員并沒有使用統一的用戶名和密碼的設置，導致經常性忘記賬戶，修改密碼等，這無疑增加了運維的工作負擔。

注：以上服務都支持使用LDAP作為統一認證源，且市面上大多數軟件都支持LDAP認證。

以上問題的核心就是統一的用戶認證源，實現了統一認證，就可以解決這個問題。

而LDAP的一個常用用途是實現統一認證管理，用戶可以在多個服務中使用同一個密碼，實現單點登錄。

目前市場上已經有了很多成熟的LDAP服務產品，如Microsoft的ActiveDirectory、Oracle的Internet Directory、IBM的Directory Server，以及基于LDAP協議的開源服務軟件OpenLDAP等，所說的幾款產品中，不乏有商用軟件，每個都有自己的應用場景，應用最多占比的，還是當屬OpenLDAP。

總結

相信在經過一系列的說明之后，相信多多少少都知道OpenLDAP是什么，能干什么了，這是一款資格很老的軟件了，在目前大多數過時技術被淘汰的情況下，依然有很多的企業使用，屬實不易，另一方面也說明了OpenLDAP在此領域的成熟型，不管是本身的使用還是兼容性，架構都足以滿足企業所需不然早就被淘汰了，這個老牌戰將能堅持多久不被淘汰，又或者有哪個新星將領將其斬下馬下，讓我們拭目以待。

最后想說的一句話：我要干掉這個反人類配置的OpenLDAP，因為不會，所以才會。

總結

以上是生活随笔為你收集整理的OpenLDAP介绍与说明的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。