轻量级目录访问协议（LDAP）

轻量级目录访问协议（Lightweight Directory Access Protocol, LDAP）它是一种基于TCP/IP协议的互联网协议，用于从目录中获取信息。LDAP协议主要用于访问活动目录。LDAP的特点：

1. 由于这种设计方式，LDAP的功能模型更为简单。因此，它省略了那些重复使用频率较低或较为复杂的功能。
2. 它更容易理解和实施。
3. 它使用字符串来表示数据。

目录：目录是由具有相似属性的对象组成的集合，这些对象以逻辑和层次化的方式组织在一起。例如，电话目录就是一种分布式数据库应用，它用于管理目录中的各种属性。LDAP定义了用于访问和修改目录条目的操作，例如：

• 根据用户指定的条件进行搜索
• 添加一条记录/信息
• 删除一条记录
• 修改条目/内容
• 修改某个条目的区分名或相对区分名。
• 比较一个条目

LDAP模型：LDAP可以通过其基于的四种模型来解释：

1. 信息模型：该模型描述了存储在LDAP目录中的信息结构。在这里，被存储的基本信息被称为“实体”。这些条目代表了现实世界中的各种对象，比如人、服务器、组织等。每个条目都包含一系列属性，这些属性包含了关于该对象的详细信息。每个属性都有一种类型，并且可以有一个或多个值。这里的属性类型与语法相关，而语法则决定了可以存储哪种类型的值。
2. 命名模型：该模型描述了LDAP目录中信息的组织与识别方式。这些条目被组织成一种类似树状的结构，这种结构被称为“目录信息树”（Directory Information Tree，简称DIT）。在DIT中，各个条目是根据其唯一标识符来排列的。这个唯一标识符能够明确无误地标识出某个条目。
3. 功能模型：LDAP定义了用于访问和修改目录条目的操作。在这里，我们以一种与编程语言无关的方式来讨论LDAP操作。LDAP操作可以分为以下几类：

   • Query
   • Update 
   • Authentication 

4. 安全模型：该模型描述了如何保护LDAP目录中的信息，使其免受未经授权的访问。该模型基于BIND操作机制。可以执行多种绑定操作。

LDAP客户端与服务器的交互：它与其他的客户端-服务器交互方式非常相似。在这种情况下，客户端负责执行与服务器的协议相关的工作。这种交互过程如下：

1. 客户端向服务器发送了协议请求。
2. 服务器对目录执行各种操作，例如搜索、更新、删除等。
3. 该响应会被发送回客户端。

Microsoft、OpenLDAP、Sun等公司都可以轻松地被用作LDAP服务器。如果用户不想安装目录服务，而是希望使用现有的LDAP服务器，那么用户可以使用four11、bigfoot等工具来创建LDAP客户端。因为有许多编程语言都提供了相应的SDK，比如C、C++、Perl、Java等，所以创建LDAP客户端其实非常简单。不过，用户需要完成一些特定的操作才能成功创建LDAP客户端。

(i) Go get SDK for your language
(ii) Use function of SDK to connect to LDAP 
(iii) Operate on LDAP 

LDAP的功能/操作：

• (a) 用于身份验证：它包含了用于连接和断开与LDAP服务器的连接的操作，以及用于建立访问权限和保护信息的操作。在身份验证过程中，客户端会话的创建和终止也是通过这些功能来实现的。

  -> BIND/UNBIND
  -> Abandon 

• (b) 关于查询：它包含了用于从目录中检索信息的搜索和比较操作。在查询过程中，服务器会执行相应的操作。

  -> Search
  -> Compare Entry 

• (c) 更新信息：它包含了用于更新目录中存储的信息的添加、删除、修改等操作。在更新过程中，我们可以使用相应的功能来对目录进行更改。

  -> Add an entry
  -> Delete an entry
  -> Modify an entry 

• 客户端通过使用主机名/IP地址以及端口号来与服务器建立连接。出于安全考虑，用户需要设置USER-ID和密码进行身份验证。
• 服务器执行诸如读取、更新、搜索等操作。
• 客户端通过调用 UNBIND 或 Abandon 函数来结束会话。

LDAP的优势：

• 存储在LDAP中的数据可以被许多客户端和库程序访问。
• LDAP可以支持多种类型的应用程序。
• LDAP具有非常通用的特性，同时也具备基本的安全性保障。

LDAP的缺点：它并不擅长处理关系型数据库。