第16章LDAP ：目錄服務(wù)作者：Mark Kadrich本章內(nèi)容包括：? 為什么使用目錄服務(wù)? 目錄服務(wù)功能? IP上的目錄服務(wù)? OSI X.500目錄模型? LDAP結(jié)構(gòu)p? 目錄系統(tǒng)代理和訪問

第16章LDAP ：目錄服務(wù)

作者：Mark Kadrich

本章內(nèi)容包括：

? 為什么使用目錄服務(wù)

? 目錄服務(wù)功能

? IP上的目錄服務(wù)

? OSI X.500目錄模型

? LDAP結(jié)構(gòu)p

? 目錄系統(tǒng)代理和訪問協(xié)議

? 輕型目錄訪問協(xié)議

? LDAP服務(wù)器—服務(wù)器通信

? 設(shè)計L D A P 服務(wù)

? LDAP配置

? 產(chǎn)品環(huán)境

? 選擇L A D P 軟件

輕型目錄訪問協(xié)議( L D A P ) 是功能非常強大且健壯性非常好的協(xié)議，實現(xiàn)起來相當復(fù)雜。L D A P 自身就要用幾百頁紙來描述，正如在《理解、開發(fā)L D A P 目錄服務(wù)》一書中所見到的一樣。這一章涵蓋了L D A P 的卓越之處同時盡量給出L D A P 的總體描述。

16.1 為什么使用目錄服務(wù)

如果用戶已經(jīng)在考慮這個問題，說不定已經(jīng)收集了關(guān)于不同主題的

許多文件。問題不是收集這些信息，而是當用戶需要這些信息時使之成

為有價值的東西。為了記錄這些大量信息，用戶可能要在機器上創(chuàng)建目

錄以表示這些知識的含義。用戶可能有一個購買信息目錄、一個生產(chǎn)信

息目錄，還有一個故障目錄。每個信息目錄用圖16-1中的一條豎線表示。

這些信息對用戶而言是很有價值的，因為它代表了有關(guān)用戶主題的全部

知識。然而，用戶所擁有的信息只是更大量信息的一部分。

由于互聯(lián)網(wǎng)絡(luò)的普及使得用戶可以獲得大量信息，信息的收集

就成為日常工作。用戶可以收集關(guān)于自己所從事學(xué)科的各種信息。

如果想知道更多生產(chǎn)塑料、亞麻鳥的信息，可以到I n t e r n e t 上去找。

I n t e r n e t提供的新服務(wù)使得搜索信息變得比以前更容易。像

找到了所需的信息，問題是如何管理它們？答案是目錄服務(wù)。圖16-1 一個目錄結(jié)構(gòu)例子Ya h o o ! 和I n f o s e e k 這樣的搜索引擎使得信息發(fā)現(xiàn)工作只需通過點擊來完成。然而用戶現(xiàn)在已經(jīng)

16.2 目錄服務(wù)的功能

雖然可能沒有意識到，但是用戶以前確定使用過目錄服務(wù)。電話號碼簿和電視收看指南

是使用目錄很好的例子。在電話號碼本的例子中，包括名字、地址以及電話號碼。在電視收看指南的例子中包括電視的時間、名字、描述、播出時間、主題等。用戶甚至可以使用電視收看指南來對V C R 進行編程。如果安裝了V C R 的V C R ，就可以輸入目錄號，之后，V C R 能自動對自身編程記錄下用戶選擇的節(jié)目。這樣使得使用V C R 和訪問廣播節(jié)目變得更容易管理。

和V C R 一樣，L D A P 為在網(wǎng)絡(luò)中定位信息提供了一種比其他協(xié)議，如域名服務(wù)( D N S ) ，更容易的途徑。和只是用于定位計算機的D N S 不一樣，L D A P 允許用戶記錄找到的目錄信息。L D A P 目錄保留了關(guān)于用戶及其計算機的信息。與電話號碼簿和電視收看指南不一樣，L D A P 目錄是動態(tài)的。它們保留的信息可以按需進行更新。L D A P 目錄也是分布的，這樣就不容易遭到破壞。

16.3 IP上的目錄服務(wù)

在網(wǎng)際協(xié)議( I P ) 上有許多其他的目錄服務(wù)在運行。I P 是使用號碼來標識I n t e r n e t 上計算機和網(wǎng)絡(luò)的系統(tǒng)，它的功能就像用幾個數(shù)來標識一所公寓內(nèi)的房間一樣。其中樓號和網(wǎng)絡(luò)號相似，公寓號相當于子網(wǎng)號，房間號可以認為等價于主機號。比如，用戶不使用Deep Creek街1 234號1 28號公寓，而是使用名字如John Smith來發(fā)送信息。

如果用戶使用過We b 瀏覽器，就使用過D N S 。它的工作方式與L D A P 相似：客戶程序給服務(wù)器發(fā)出一個請求，服務(wù)器處理該請求并返回應(yīng)答。

圖1 6-2和表1 6-1畫出了在本地查找過程中I P 地址如何與D N S 進行映射。

發(fā)出請求的客戶程序

1. 請求f o o . c o m

3. 返回I P 地址1 92. 0. 11 2. 1D N S 服務(wù)器2 . 服務(wù)器在其內(nèi)部數(shù)據(jù)庫中查找f o o . c o m

圖16-2 本地DNS 查找過程

表16-1 聯(lián)系主機名和I P 地址的D N S 表實例

主機名

f o o . c o m

f o o IP 地址1 92. 0. 11 2. 11 92. 0. 11 2. 1

如果本地服務(wù)器沒有地址信息，會給上級服務(wù)器發(fā)送一個請求，請求會沿著一棵倒置的樹進行，非常類似于L D A P 使用的結(jié)構(gòu)。這一點可以從圖1 6-3中看出來。

w h o i s 、f i n g e r 、Y P 和D A P 也是運行在I P 上的目錄服務(wù)。用戶可能還記得黃頁，現(xiàn)在通常稱為網(wǎng)絡(luò)信息服務(wù)(Network Information Service，N I S ) 。N I S 是一種識別用戶、主機的服務(wù)，在N I S 中，其他的信息由系統(tǒng)管理員維護。N I S 是一種使管理員負責一個大型的L A N 或WA N 來集中管理用戶信息的服務(wù)。如圖1 6-4所示，一旦用戶登錄，就要從主機發(fā)一請求給Y P 服務(wù)器。這個請求將包含用戶信息，如U I D 、口令以及主機信息。Y P 服務(wù)器會把返回信息發(fā)送給用戶主機，告訴它是否允許被訪問還是被拒絕訪問。

上級D N S 服務(wù)器

發(fā)出請求的客戶程序

3. 請求傳送到上級服務(wù)器1. 請求f o o . c o m

4. 返回I P 地址1 92. 10. 11 2. 1

2. 服務(wù)器在內(nèi)部數(shù)據(jù)庫中沒能找到f o o . c o

m

5. 發(fā)送I P 地址1 92. 0. 11 2. 1

本地D N S 服務(wù)器

圖16-3 發(fā)送到上級服務(wù)器的DNS 查詢

管理員喜歡這種服務(wù)，因為它能利用網(wǎng)絡(luò)自身。在網(wǎng)絡(luò)內(nèi)可以設(shè)置輔助( S e c o n d a r y ) N I S 服務(wù)器以確?？煽啃圆p小延遲。這已經(jīng)成為安裝局部N I S 服務(wù)器的標準操作規(guī)程以減少下行時間，這種情況在停機或高流量負載時尤其重要。

主控( M a s t e r ) N I S 服務(wù)器在預(yù)先設(shè)置的時間間隔內(nèi)把用戶信息“推”給輔助( S e c o n d a r y ) 服務(wù)器。這通常在夜間流量小時與網(wǎng)絡(luò)備份及系統(tǒng)更新一起進行。

U N I X 客戶端

1. YP請求2. 返回結(jié)果

Y P /N I S 服務(wù)器，通常在U N I X 下

圖16-4 UNIX環(huán)境中的黃頁或網(wǎng)絡(luò)信息服務(wù)

有時，對用戶信息的變化需要立即更新。在特殊情況下，如當一個對公司心懷不滿的員工被解雇時，系統(tǒng)管理員就需要一種立即刪除用戶訪問權(quán)限的方法。有時新的用戶，如承包商，需要有訪問權(quán)限以便開始工作。承包商通常按小時付費，所以讓他們盡快早點開始工作是有利的。正是因為這些原因，N I S 也允許手動更新輔助服務(wù)器。系統(tǒng)管理員能改變并手動更新特定的網(wǎng)絡(luò)服務(wù)器。

警告

手動“推”操作既是有用的也是危險的。一個匆忙的系統(tǒng)管理員發(fā)出“

f a t

f i n g e r e d ”命令不小心把大部分用戶的訪問權(quán)限刪除，這種情況出現(xiàn)過多次。這是一個用來檢測分組交換機和語音郵件系統(tǒng)健壯性非常好的一個方法。

W h o i s 是一個基于文本的目錄服務(wù)，存儲有關(guān)主機、服務(wù)器、I P 地址和網(wǎng)絡(luò)信息。一個w h o i s 請求會得到相當數(shù)量的信息。w h o i s 數(shù)據(jù)庫中通常會存儲如下信息：聯(lián)系名、記賬地址、電話號碼及域服務(wù)器。Macmillan whois產(chǎn)生如下信息：

16.4 OSI X.500目錄模型OSI X.500

標準位于O S I 協(xié)議棧表示層之上用于處理分析請求和應(yīng)答。直接位于表示層之上，相關(guān)控制服務(wù)元(Association Control Service Element，A C S E ) 和遠程操作服務(wù)元( R e m o t e Operation Service Element，R O S E ) 可以使下面的通信層通過抽象文法標示( A S N . 1) 來交換信息。通過對數(shù)據(jù)如何交換文法的標準化，A S N . 1提供了一種在兩種不同計算機系統(tǒng)之間交換信息的方法。這樣也使得X . 500應(yīng)用程序能在網(wǎng)絡(luò)上的計算機之間交換信息。

A S C E 提供了在兩個應(yīng)用層實體之間通信的方法。在X . 500模型中，R O S E 使目錄系統(tǒng)代理與目錄用戶代理之間的通信成為可能(參見圖1 6-5) 。

主D S A

D A P

D U A 客戶端D S P 主D S A

D A P

D S P

D A P

D U A 客戶端

映像D S A

圖16-5 基于X.500模型的目錄訪問協(xié)議組成部分

X . 500目錄服務(wù)模型由三個基本單元組成。包括：

? 目錄信息庫( D I B )

? 目錄系統(tǒng)代理( D S A )

? 目錄用戶代理( D U A )

D I B 中包含的信息由D S A 管理，這樣D U A 能訪問使用它。D U A 使用目錄訪問協(xié)議( D A P ) 來訪問D U A 。在這種以客戶/服務(wù)器類型的組織中，D U A 既可以是人也可以是其他應(yīng)用進程，如電子郵件客戶程序。D S A 能通過目錄系統(tǒng)協(xié)議( D S P ) 與其他D S A 進行通信，就像D N S 服務(wù)器之間彼此通信的原因一樣。然而和D N S 不一樣，在D N S 中，當沒有找到I P 地址時會查詢上一

16.4.1 早期的X.500級服務(wù)器，而D S A 是對等的。在今天的大型網(wǎng)絡(luò)中，這一點提供了可擴展性。

在8 0年代，國際電報電話聯(lián)盟( C C I T T ) 開始致力于存儲和檢索諸如電話號碼和電子郵件地址的工作。同時，另一個組織—國際標準化組織( I S O ) 開始尋找一個合適的服務(wù)來支持O S I 網(wǎng)絡(luò)中的名字服務(wù)。最后，兩個組織認識到他們的工作有重復(fù)并最終一起努力形成了今天的X . 500標準。

最終的結(jié)果是一個具有一些有趣特性的目錄服務(wù)。L D A P 是其中最重要的，作為一個開放式標準，L D A P 不屬于某個個別生產(chǎn)商。其次，L D A P 使通用目錄服務(wù)能支持大量信息。第三，L D A P 極具擴展性和分布性。X . 500一開始就是用于支持廣泛的且演變的網(wǎng)絡(luò)結(jié)構(gòu)，并且做得非常好。最后，L D A P 在安全框架內(nèi)支持豐富的搜索功能。圖1 6-5畫出了L D A P 的主要組成部分。

X . 500并不是沒有缺陷。如在早期開發(fā)過程中就發(fā)現(xiàn)的，L D A P 復(fù)雜且需要大量資源，而且要仔細規(guī)劃。L D A P 也是為O S I 而開發(fā)，而不是今天使用的T C P /I P 標準。O S I 從來也沒有真正實現(xiàn)過，并且T C P /I P 的速度和簡單性也是O S I 所不及的。顯然需要對D A P 作一些改動。16.4.2 今天的X.500

X . 500已經(jīng)演變成一組非常完整的規(guī)范。其中的核心是目錄訪問協(xié)議( D A P ) ，D A P 被認為是整個目錄請求的中心。D A P 的不足，也可以認為是D A P 的優(yōu)點，是因為它想要同時解決所有問題。所以，D A P 所提供的大量神秘的服務(wù)在桌面機環(huán)境中很少有什么實際用處。在桌面機上完全實現(xiàn)D A P 要小心考慮。為了減小復(fù)雜性，開發(fā)了一個服務(wù)L D A P 作為橋梁。16.5 LDAP結(jié)構(gòu)

L D A P 開發(fā)的目的是為了簡化D A P 。然而在X . 500與L D A P 之間有很大的相似性。L D A P 使用目錄系統(tǒng)代理和目錄用戶代理；然而在L D A P 中，它們被簡單認為是L D A P 服務(wù)器和客戶機。L D A P 也使用相同的O S I 體系結(jié)構(gòu)。L D A P 應(yīng)用程序位于表示層之上，通過L D A P 應(yīng)用程序編程接口與底層進行通信。

L D A P 服務(wù)的基本元素包括：

? LDAP服務(wù)器

? LDAP客戶機

這里的主要差別在于對A P I 的依賴而不在于對I P 棧填加的?！跋镀?，這個?！跋镀卑裍 . 5 0 0與通信棧連接起來。主要的相同點是網(wǎng)絡(luò)配置結(jié)構(gòu)和數(shù)據(jù)存儲方式。與

L D A P 服務(wù)是分層次的。

16.5.1 LDAP層次結(jié)構(gòu)

L D A P 信息結(jié)構(gòu)類似于前面描述的文件系統(tǒng)。在圖1 6-6中，讀者可以看到L D A P 起始于根。L D A P 信息的基本單元是項。項是指現(xiàn)實世界關(guān)于某對象的信息集合，在本例中，對象是組織自身。

在許多情況下，目錄結(jié)構(gòu)是組織結(jié)構(gòu)的反映。它起始于組織描述，向下細劃為項，如部門、資源最后到人。

X . 5 0 0一樣，

圖16-6 LDAP目錄結(jié)構(gòu)的倒向樹

16.5.2 名字結(jié)構(gòu)

在目錄項內(nèi)部是一組屬性，這組屬性描述了被選對象的一個品質(zhì)。屬性由一個類型域和一個或多個值組成。屬性類型描述屬性內(nèi)包含

的信息。值是屬性對應(yīng)的值。比如屬性的電話

號碼值是1 800 555 1234。

為了有效地進行搜索，對象分類提供了一

種元素命名方式，如：o b j e c t c l a s s =人。

可以使對所有定義為人的對象的搜索不會

搜索服務(wù)器或建筑物，因此使搜索耗時更小。

接下來的屬性c n ，意思是通用名字，如圖

1 6-7所示，通用名經(jīng)常是個人或資源的全名。

完整的目錄列表起始于可辨別的名字( d n )

，

這個名字包含對象類別及個人或資源的信息。因為L D A P 不像D A P 一樣支持從目錄樹頂

另一個D I T 的葉節(jié)點實現(xiàn)。圖16-7 名字空間示例，目錄信息樹到其他目錄的連接，所以L D A P 引入了別名支持這種功能，這可以通過把用戶整個的D I T 看作

16.6 目錄系統(tǒng)代理和訪問協(xié)議

開始時，D S A 負責目錄信息管理。目錄信息庫駐留在D S A 上。D S A 由位于客戶機上的目錄用戶代理訪問。再次參考圖1 6-5，D U A 使用D A P 訪問包含D I B 的D S A 。看起來很簡單，實際上并非如此。D S A 被設(shè)計成分布的。當D I B 變大時，可能需要把一部分移到其他服務(wù)器上或者和其他D S A 連接在一起。這可以通過目錄服務(wù)協(xié)議完成。和支持用戶查詢的D A P 不一樣，

D S P 用于D S A 之間交換信息、傳遞請求、復(fù)制或映像目錄，以及提供管理支持。

16.7 輕型目錄訪問協(xié)議

如前面所討論的，L D A P 從早期協(xié)議演化而來。這些早期協(xié)議，如D A P ，在其應(yīng)用之前開

發(fā)出來。設(shè)計人員對各種格式信息的更大需要導(dǎo)致了這些協(xié)議的復(fù)雜性。

像D A P 這樣的解決方案對于小型桌面系統(tǒng)而言太復(fù)雜，對于管理員而言也太復(fù)雜。需要更簡單的協(xié)議。商業(yè)團體幫助削減了一些在桌面機工作環(huán)境中的要求，但仍能使管理員在分布式系統(tǒng)繁忙時重新獲得對大量丟失配置的控制，最終的解決方案演化為L D A P 。

L D A P 是一個基于網(wǎng)絡(luò)計算客戶機/服

L D A P 服務(wù)器

多個L D A P 客戶機

請求請求

請求

圖16-8 基本的LDAP 消息傳遞協(xié)議

務(wù)器模型的消息傳遞協(xié)議。服務(wù)器保留信息，并接收網(wǎng)絡(luò)上的客戶機請求。服務(wù)器形成應(yīng)答并發(fā)回至客戶機。圖1 6-8顯示了客戶機的請求如何作為獨立消息發(fā)送至服務(wù)器。16.7.1 查詢信息

用戶及其應(yīng)用程序查詢當前信息的能力構(gòu)成了一個功能強大且健壯的平臺，這種能力就建造在這個平臺之上。

在L D A P 模型中，假設(shè)數(shù)據(jù)被讀取的次數(shù)比其被寫入的次數(shù)多許多倍。正因如此，L D A P 對訪問進行優(yōu)化。在通常的局域網(wǎng)中，像D N S 這樣的服務(wù)是高事務(wù)服務(wù)。換句話說，其他的服務(wù)依賴于目錄服務(wù)功能來應(yīng)答信息請求。

如前面所提到的，L D A P 是基于客戶機/服務(wù)器模型的協(xié)議。這使得服務(wù)器為某些特定過程進行優(yōu)化—在這種情況下，是指搜索和查詢信息并把信息發(fā)送到網(wǎng)絡(luò)上。L D A P 服務(wù)器不包括外部過程和用戶接口信息，而是包括那些管理數(shù)據(jù)和服務(wù)器的信息。

過程起始于綁定到服務(wù)器上的客戶機發(fā)出信息查詢請求。綁定是在主機和服務(wù)器之間建立會話的過程。圖1 6-9顯示了基本工作過程。客戶程序構(gòu)造一個請求，查詢某項，比如查詢用戶的電話號碼，客戶把這個消息傳給服務(wù)器。服務(wù)器通過發(fā)送包含請求信息的消息應(yīng)答給客戶機，并發(fā)回一個結(jié)果碼消息。結(jié)果碼消息會告訴客戶機請求是否成功，如果不成功，錯誤原因是什么。

在需要有多條消息要發(fā)給客戶機才能正確應(yīng)答時，最后一條消息是結(jié)果碼消息，如圖1 6 - 1 0所示。

1. 請求查詢1

L D A P 客戶機

1. 請求查詢2. 返回請求結(jié)果3. 返回結(jié)果碼

L D A P 服務(wù)器

2. 請求查詢2

L D A P 客戶機

3. 返回請求結(jié)果14. 返回請求結(jié)果25. 返回結(jié)果碼16. 返回結(jié)果碼2

L D A P 服務(wù)器

圖16-9 基本的LDAP 工作過程圖16-10 通過LDAP 發(fā)送多條消息請求

1. 請求搜索

2. 返回第一項

L D A P 客戶機

3. 返回第二項

4. 返回第三項

5. 返回第四項

7 返回結(jié)果碼L D A P 服務(wù)器基于消息協(xié)議的特點是其允許同時發(fā)送多條消息。L D A P 會處理這些不相關(guān)的消息請求并對每一個請求作出應(yīng)答并發(fā)送結(jié)果碼消息。在有認證和控制的情況下，L D A P 提供綁定操作，去除綁定操作和放棄操作，綁定是客戶機必須要做的第一件事，初始化到服務(wù)器的會話。在這個階段，客戶機會向服務(wù)器確認自身并提供憑證，這和安

全協(xié)議一起工作來防止對數(shù)據(jù)庫的非授權(quán)

訪問。

息，用戶繼續(xù)使用應(yīng)用程序。

當客戶機發(fā)送了一個放棄消息時，它告訴服務(wù)器其不再需要信息。用戶可能已經(jīng)中止了正在請求信息的應(yīng)用程序或者應(yīng)不正常結(jié)束。這種情況下，要求操作系統(tǒng)發(fā)送放棄消息。圖1 6-11顯示了從開始到結(jié)束的整個事務(wù)過程。

16.7.2 存儲信息

存儲信息屬于維護和收集操作，L D A P 通過支持下面三個功能提供這些操作：

? 加入—加入功能只是加入一個新用戶和屬性值到一個已有的數(shù)據(jù)庫上。

? 刪除—刪除操作從數(shù)據(jù)庫中刪除掉屬性或整個項。這個操作在用戶離開時用得上。然而大多數(shù)系統(tǒng)管理員僅僅把用戶設(shè)為非活躍的。

? 修改—對系統(tǒng)管理員而言，修改函數(shù)可能是最有用的，考慮到該操作被使用的頻率，刪除操作可能是第二個用戶最常使用的操作。修改函數(shù)使系統(tǒng)管理員和用戶可以修改目錄中的信息。典型情況下，用戶只能修改自身信息的一小部分。數(shù)據(jù)項如電話號碼和個人頭發(fā)顏色可以由用戶任意修改。

要仔細考慮權(quán)限問題。你也許想讓自己的部分用戶有能修改他們個人信息的權(quán)力。這意味著你應(yīng)該特別注意他們對用戶目錄的訪問權(quán)限。

16.7.3 訪問權(quán)限和安全

在最近一次對I n t e r n e t 上可訪問L D A P 服務(wù)器的測試中，發(fā)現(xiàn)所有L D A P 服務(wù)器的絕大部分是可訪問的。任何信息安全專家會說出最危險的事情是賦予某人的訪問權(quán)。如果一個黑客能訪問服務(wù)器，他就擁有了服務(wù)器上的數(shù)據(jù)。

用戶必須有一個程序來確保自己的服務(wù)器(不論是U N I X 還是Wi n d o w s -N T ) 以安全方式配置。同時建議實施一個安全策略不斷的服務(wù)器進行檢查?？梢垣@得大量商業(yè)應(yīng)用程序?qū)τ脩舴?wù)器進行檢查以發(fā)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫自身在安全方面的脆弱性。

對用戶目錄的訪問權(quán)限及適應(yīng)程度因使用的服務(wù)器應(yīng)用程序不同而不同。一定要小心理解應(yīng)用程序如何與操作系統(tǒng)一起工作來提供安全性。

圖16-11 通過一個消息發(fā)送多個請求去除綁定( u n b i n d ) 通知服務(wù)器客戶機L D A P 會話結(jié)束，發(fā)出L D A P 請求的應(yīng)用程序得到信

16.8 LDAP服務(wù)器-服務(wù)器通信

雖然許多用戶只看到L D A P 協(xié)議中的客戶機至服務(wù)器部分，但是還有一些用戶看不到的操作以保證用戶能可靠地查詢服務(wù)器。

可靠性毫無疑問是針對于單點失敗問題的健壯性設(shè)計要求。它也意味著使延遲保持最小。延遲作為可靠性的一個方面需要理解為至少從用戶的角度看是這樣。如果用戶要用很長時間來訪問基于網(wǎng)絡(luò)的服務(wù)，他們會以為網(wǎng)絡(luò)崩潰，不可靠。如果管理員設(shè)置L D A P 服務(wù)為一個單點失效服務(wù)器，就將面臨其用戶的埋怨。

16.8.1 LDAP數(shù)據(jù)互換格式(LDIF )

L D A P 使用標準方法產(chǎn)生請求消息和應(yīng)答消息，消息以文本文件進行交換，這種文件采用一種預(yù)定義的L D A P 數(shù)據(jù)互換格式—LDIF(LDAP Data Interchange Format)。一個典型的L D I F 如下：

最上面一行是相對可辨別名字( R D N ) ，用于跟蹤對象。在這個例子中，用戶可以得到有關(guān)人的姓名和組織情況。讀者會注意到這個格式與電子郵件地址向右解析的工作方式相似。稱此為“小結(jié)尾( l i t t l e -e n d i a n ) ”順序。在這種格式中，最低級元素先寫，最高級元素加在最右邊。如：

msk @ host.division.state.starwizz.com

16.8.2 LDAP復(fù)制

復(fù)制是一種多刻面服務(wù)，它提供了增強的可靠性和性能。通過在整個網(wǎng)絡(luò)環(huán)境中分布目錄信息，用戶可以降低發(fā)生服務(wù)器以及網(wǎng)絡(luò)相關(guān)故障時的脆弱性。正如圖1 6-12中所看到的一樣，如果一個L D A P 服務(wù)器副本失效，內(nèi)部的請求會發(fā)送到其他的L D A P 副本或至主服務(wù)器自身。沒有L D A P 副本，網(wǎng)絡(luò)A 和B 上的客戶機將得不到L D A P 服務(wù)。

L D A P 副本B

I n t e r n e t

B 客戶機

路由器

防火墻

L D A P 副本A

L D A P 主服務(wù)器

圖16-12 廣域網(wǎng)上分布式LDAP 提供了冗余和可靠性

從性能的角度考慮也會帶來好處，因為本地L D A P 請求不必通過路由器。局部請求可以由局部資源處理，所以減輕了網(wǎng)絡(luò)的流量負載。

副本不必包含整個目錄樹。為了安全和維護方便，D I T 中只有特定部分被復(fù)制，用戶可以有選擇地復(fù)制運行在相關(guān)網(wǎng)絡(luò)上的服務(wù)。在圖1 6-12中，B 副本只包含網(wǎng)絡(luò)B 上的特定目錄項。對網(wǎng)絡(luò)B 之外信息的服務(wù)請求將被傳送到主L D A P 服務(wù)器。

16.9 設(shè)計LDAP 服務(wù)

定義需求是一個非常重要的問題。要花些時間來考查信息環(huán)境如何工作以及隨著時間的變化情況。

16.9.1 定義需求

當用戶建立目錄服務(wù)查需求時，需要考慮許多方面。這一節(jié)會論述用戶群體對工作的信息環(huán)境的需求。這意味著設(shè)計人員必須考慮用戶及其使用的工具，包括：

? 用戶需求

? 用戶的期望

? 應(yīng)用需求