「LDAPを使用して従業員情報をロードできますか?」などのことをよく耳にします。それでも、「ライトウェイトディレクトリアクセスプロトコル」というタイトルは、OracleやMSSQLのような物理データベース管理システムではなく、プロトコルとして考えさせてくれます。
では、LDAPとは何か、LDAPがどのように使用されているか、基本的にどのように機能するかを誰かに説明してもらえますか?LDAPは、さまざまなDBMSからデータを抽出するための単なる標準プロトコルですか?アーキテクチャ図では、LDAPはDBとアプリケーションサーバーの間に描かれた単なる矢印でしょうか?
LDAPは、ユーザーディレクトリをクエリするためのプロトコルです。たとえば、ActiveDirectoryまたはNovelleDirectoryはどちらもLDAPをサポートしています。また、SQLがデータベースをクエリするためのクエリ言語であるように、ある程度、そのようなクエリを実行するための構文でもあります。
LDAPコマンドは次のようになります
(givenName = Mike)
そして、ディレクトリ内のすべてのマイクを返します。
LDAPは通常、認証データベースとして使用されます。Software-as-a-Serviceとして販売しているCMS製品があるとします。したがって、ユーザーはCMSを取得し、あなたはそれを維持します。
したがって、examplecustomer1.com、examplecustomer2.org、examplecustomer3.net(ドメインごとに1つのソフトウェア)にインストールします。これで、3つのユーザーデータベースを維持できます。したがって、管理者アカウントと顧客アカウントとしてすべてのシステムに自分自身を追加します。
次に、LDAPを発見します。製品にLDAPサポートを追加すると、ユーザーの中央データベースが1つ作成されます。自分の1つのユーザー名とパスワードを使用して、すべてのシステムに管理者としてログインできます。CMSシステムには引き続きユーザーデータベースと各ユーザーの権限が含まれていますが、ユーザー名はLDAPデータベースへの参照として使用されるようになり、パスワードフィールドはCMSデータベーススキーマから削除されます。
はい、LDAP(Lightweight Directory Access Protocol)はTCP/IPで実行されるプロトコルです。
これは、MicrosoftのActiveDirectoryやSunONEDirectoryServerなどのディレクトリサービスにアクセスするために使用されます。
ディレクトリサービスは一種のデータベースまたはデータストアですが、必ずしもリレーショナルデータベースである必要はありません。構造は通常はるかに単純で、名前と値のペアの階層コレクションを格納します(例:lastName = Smith、firstName = John)。
LDAPはプロトコルですが、私が知っている多くの人は、「LDAPクエリに応答できるすべてのストア」を含めるためにその意味をオーバーロードしたいと思っています。Active Directoryはそのようなストアであり、他にもたくさんあります。建築家が店が何であるかを本当に気にしないときに使用されます。これは、MySql、Oracle、SQL Serverのいずれであるかを気にしない場合に、「SQLに保存する」と言った場合と同じように使用されます。
LDAPは、ライトウェイトディレクトリアクセスプロトコルの略です。これは、分散ディレクトリサービスへのアクセスを提供する拡張可能なオープンネットワークプロトコル標準です。LDAPは、TCP/IPで実行されるディレクトリサービスのインターネット標準です。OpenLDAPおよび関連サーバーには、2つのサーバーがあります。slapd、クエリが送信されるLDAPデーモンとslurpd、1つのサーバーからのデータが1つ以上のスレーブサーバーにプッシュされるレプリケーションデーモンです。複数のサーバーで同じデータをホストすることで、信頼性、スケーラビリティ、および可用性を向上させることができます。
これは、検索、追加、削除、変更、名前の変更など、実行できる操作を定義します。操作とデータの伝達方法を定義します。
LDAPには、ユーザー、会社の電話番号、電子メールリストなどの既存のアプリケーション固有の情報をすべて統合する可能性があります。これは、LDAPサーバーで行われた変更が、このユーザー情報を使用するすべてのディレクトリサービスベースのアプリケーションで有効になることを意味します。新しいユーザーに関するさまざまな情報は、Unixアカウント、NTアカウント、電子メールサーバー、Webサーバー、ジョブ固有のニュースグループなどで利用できる単一のインターフェイスを介して追加できます。ユーザーがアカウントを離れるときは無効にすることができます1回の操作ですべてのサービスに。
したがって、LDAPは、サービスのような「ホワイトページ」(名前、電話番号、役割など)と「イエローページ」(プリンター、アプリケーションサーバーの場所など)を提供するのに最も役立ちます。通常、J2EEアプリケーション環境では、ユーザーの認証と承認に使用されます。
LDAPは、X.500ファミリのプロトコルの複雑さに対応して作成されたプロトコルです。これは、階層的なディレクトリ構造を表すことを目的としています。X.500標準は、もともと完全なOSI層スタックで使用することを目的としており、通信業界の要件を満たすために作成されました。LDAPは、TCP / IPを使用して、余分なオーバーヘッドなしで同様の機能を提供するように設計されています。X.500、OSI、およびLDAPに関する情報はウィキペディアで見つけることができます。X.500とOSIはどちらも、ほとんどのデータ通信の教科書で取り上げられています。
LDAPとは:
すべてのLDAPは、MicrosoftがActive Directoryディレクトリサービス用に実装した通信プロトコルであり、他のNTDS.DITファイルに使用されます。混乱を避けましょう。NTDS.DITには、ActiveDirectoryデータベースが含まれています。データベースにアクセスするには、通信プロトコルLDAPが必要です。それでおしまい。繰り返しになりますが、NTDS.DITは単純なデータベース、つまりADDSデータベース(Active Directorディレクトリサービス)です。どのようにアクセスすればよいですか?
LDAPを使用してアクセスします。
LDAPの簡単な例を使用してみましょう。
C:/users/data.doc
また
LDAP構文
CN = Bob、OU = Users、DC = Youtube、DC = Com
CN =正規名(オブジェクトまたは名前)
OU =組織単位(Active Directoryのフォルダー)
DC =ドメインコントローラー(ある場所)
その他の情報:Active Directoryは、NTDS.DITファイルであるすべてのADオブジェクトを含むX.500標準に基づくデータベースです。
LDAPはインターネットプロトコルであり、サーバーからデータを検索するために使用されます。このプロトコルは、階層ディレクトリ構造から情報を保存および取得するために使用されます。LDAPは、階層型のデータモデルにも準拠しています。簡単に言えば、リーフノードが実際のデータを保持するツリーのような構造にデータが格納されている階層型データベースと言えます。
LDAPは、プログラムがクライアントまたはサーバーでどのように機能するかを定義することはありませんが、クライアントとサーバー間の通信に使用されるメッセージのタイプについて詳しく説明しています。メッセージは、クライアントが要求した情報、サーバーの応答、およびデータの形式にすることができます。これらのメッセージは、TCP/IPプロトコルを介して渡されます。したがって、セッション接続を確立し、クライアントとサーバー間の操作の完了後にセッション接続を切断する操作が存在する必要があります。LDAPは、必要な読み取り操作の数が多く、書き込み操作の数が少ない場合に使用できます。たとえば、ユーザー名とパスワードはそれほど頻繁に変更されないことがわかっているため、ユーザー認証。
LDAP操作プロセス
通信を開始するには、クライアントはサーバーとのセッションを作成する必要があります。このプロセスはバインディングと呼ばれます。サーバーにバインドするには、クライアントはIPアドレスまたはホスト名とTCP/IPポートを指定する必要があります。サーバーが参加している場所はありません。クライアントは、サーバーとの適切な認証を確実にするために、ユーザー名やパスワードなどの資格情報を提供することもできます。または、クライアントはデフォルトのアクセス権を使用して匿名セッションを作成することもできます。または、両方の当事者が、データ暗号化などのより強力なセキュリティプロセスを使用するセッションを確立できます。セッションが確立されると、クライアントはディレクトリデータに対して目的の操作を実行します。LDAPでは、ディレクトリ情報は読み取り機能と更新機能を提供するため、管理および照会できます。クライアントは、リクエストの作成が終了するとセッションを閉じます。このプロセスは、バインド解除と呼ばれます。LDAPモードLDAPは、主に次のようなデータモデルに依存しています。
情報モデルディレクトリには情報の基本単位が含まれており、エントリと呼ばれ、サーバーや人などの実世界のオブジェクトを表します。エントリには、オブジェクトに関する情報を定義する属性のコレクションが含まれます。各属性には、構文に関連付けられたタイプと1つ以上の値が含まれます。次の図は、エントリとその属性、およびそれらのタイプと値の関係を示しています。
ネーミングモデルLDAPのネーミングモデルは、エントリがどのように認識および編成されるかを示します。LDAPでは、エントリはDIT(ディレクトリ情報ツリー)と呼ばれる階層構造またはツリーのような構造で編成されます。エントリは、DN(識別可能な名前)に従ってDIT内で順序付けられます。これは、単一のエントリを明確に識別する一意の名前です。
機能モデル
LDAPは、クライアントによって要求される操作を定義し、3つのカテゴリに分類できます。彼らです:
1. Query which is used to fetch information from a directory. Include operations like search and compare.
2. Update which is used to update the information stored in the directory. Include operations like add, modify and delete.
3. Authentication which is used to connect and disconnect with a server, create access rights and preserve information. Include operations like bind, unbind and abandon.
セキュリティモデル
In LDAP, the security model relies on the bind operation. Three different bind operations are possible according to the security mechanisms applied. They are:
認証なし
最も単純な方法ですが、データセキュリティに問題がなく、アクセス制御のアクセス許可が絡んでいない場合にのみ適用できます。たとえば、ディレクトリには、誰でも閲覧できるアドレス帳が含まれています。バインドAPI呼び出し中にユーザーがDNとパスワードのフィールドを空のままにした場合、サーバーは自動的に匿名ユーザーセッションを採用し、このタイプのアクセスについて説明されている対応するアクセス制御とともにアクセスを許可します。
基本認証
基本認証は、LDAPで使用される代替の単純なセキュリティメカニズムであり、HTTPなどの他のいくつかのWeb指向プロトコルで使用されます。このアプローチでは、クライアントは、ネットワークを介してクリアテキストで転送されるパスワードとDNを入力することにより、LDAPサーバーに対して自身を認証する必要があります。一方、サーバーはDNとパスワードをディレクトリ内のエントリと比較します。また、パスワードが一致した場合にアクセスを許可します。さらに、クリアテキスト形式のパスワードは機密性を保証することはできません。したがって、許可されていない第三者にパスワードが開示される可能性があります。
SASL(Simple Authentication and Security Layer)
このフレームワークはLDAPV3に追加され、コネクション型プロトコルに追加の認証方法が追加されています。このメカニズムは、クライアントとサーバーが認証を保証し、後続の通信が実行されるセキュリティ層を確立するためにデータを交換するチャレンジ&レスポンスプロトコルを指定します。SASLを使用すると、LDAPプロトコルは、LDAPクライアントおよびLDAPサーバーによって承認されたあらゆる種類の認証をサポートできます。
はい、LDAP自体は通常、下位レベルのDBストアを必要とします。ここで手を汚すことをお勧めします:
OpenLDAPをインストールして試してみると... http://www.openldap.org/doc/admin22/install.html
...依存関係を考慮することを余儀なくされます。
その1つは、この場合、SleepyCatです。
楽しむ。
もっと楽しくするために、ここに分類法に関する良い哲学的議論があります:http: //archive.oreilly.com/pub/post/ldap_is_not_a_database.html
LDAPは基本的に、ディレクトリにアクセスするためのプロトコルです。ここでのディレクトリとは、基本的に、組織に存在するユーザーの情報を含むディレクトリを指します。ディレクトリの例には、MicrosoftのActive Directory(AD)やOracleのInternet Directory(OID)が含まれます。ディレクトリは基本的に、ユーザーの認証と承認を一元化することにより、組織のシングルサインオン機能を実装するために使用されます。詳細については、以下のリンクを参照してください。