• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Ldap it-slideshares.blogspot.com
 

Ldap it-slideshares.blogspot.com

on

  • 7,434 views

Ldap more from http://it-slideshares.blogspot.com and japanese-zen-garden.blogspot.com

Ldap more from http://it-slideshares.blogspot.com and japanese-zen-garden.blogspot.com

Statistics

Views

Total Views
7,434
Views on SlideShare
7,306
Embed Views
128

Actions

Likes
1
Downloads
405
Comments
0

2 Embeds 128

http://12a5thptyenthe.blogspot.com 127
http://12a5thptyenthe.blogspot.kr 1

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • In an LDAP directory hierarchy, on the other hand, the root entry is a special entry that contains configuration information about the directory server. It is not normally used to store information

Ldap it-slideshares.blogspot.com Ldap it-slideshares.blogspot.com Presentation Transcript

  • GVHD:TS.PHẠM VĂN TÍNH Đỗ Hoàng Tuyên Phạm Phanh Phương Nguyễn Trung Tín
  • Nội Dung
    • Tại Sao lại sử dụng LDAP
    • LDAP là gì?
    • Cấu trúc LDAP
    • Những mô hình trong LDAP
    • Một vài mô hình ứng dụng
  • Tại sao sử dụng LDAP
    • Hiện nay, để xây dựng các hệ thống lớn, điều tối quan trọng là phải làm cách nào để có thể tích hợp dữ liệu để từ đó có thể dùng chung giữa các hệ thống khác nhau. Trong đó, tích hợp tài khoản của người sử dụng là vấn đề cần thiết nhất trong những cái "tối quan trọng" trên.
    • Hãy tưởng tượng một hệ thống với khoảng 5 - 6 mô đun khác nhau, mỗi mô đun lại được thiết kế trên một nền tảng khác nhau ( Oracle + AS Portal, có người thì xài DB2 với WebSphere, lão khác thì MySQL , ông thì xài Wíndow, lão thì cài Linux, Unix), do đó cần có một hệ thống người dùng khác nhau. Vậy thì với mỗi mô đun, người sử dụng cần phải có một User Name, một mật khẩu khác nhau, đó là điều không thể chấp nhận được. Người dùng chẳng mấy chốc mà chán ghét hệ thống.
    • Làm cách nào để có thể tích hợp được người dùng giữa các hệ thống trên?
    • Câu trả lời đó là LDAP.
    • => Như Vậy LDAP là gì?
  • Network Information System
    • NIS:là hệ thống thông tin mạng
    • NIS là giao thức tương tự như LDAP nhưng còn khá nhiều hạn chế
    • Được phát triển bởi Sun MicroSystem ,ban đầu được Sun đặt tên là Yellow Page nhưng lại đụng độ với tên của một số công ty điện thoại,nên đổi tên lại
    • Được tích hợp trong hệ thống Unix trước đây
    • Với một nhóm 50 trạm làm việc, khi người điều hành hệ thống thêm vào một người sử dụng mới thì người sử dụng đó phải được thêm vào 50 file password, 50 file thư tín …
  • Network information system
    • NIS ra đời giải quyết phần lớn các vấn đề này bằng cách đặt hầu hết các thông tin quản lý vào một nơi do NIS kiểm soát và mọi trạm làm việc đều tham chiếu đến các file NFS thay vì đến các file riêng của họ.
    • Khi có một người sử dụng mới, người điều hành chỉ phải thêm người sử dụng đó vào cơ sở dữ liệu NFS được dùng chung, do đó tức thời làm cho người mới vào có thể làm việc với tất cả các trạm làm việc.
  • Network information system
    • Tuy nhiên, thỉnh thoảng nó cũng bị mất đồng bộ (sau khi người quản trị cập nhật các file chính, cần phải thực hiện một số lệnh để làm phát sinh lại cơ sở dữ liệu NIS và dễ mắc sai lầm).
    • Khi NIS không đồng bộ, nó có thể gây ra những kết quả rất kỳ dị.
    • Thiết kế của NIS cũng làm cho nó có thể tạo ra một số lỗ hổng gây bối rối về tính an toàn –
    • M ột sự khó chịu nhỏ nếu các máy tính chỉ chịu sự truy cập của một số ít người sử dụng đáng tin cậy nhưng lại là một thảm họa tiềm tàng nếu bất kỳ ai trong số hàng triệu người sử dụng trên Internet có thể lọt vào
  • LDAP là gì
    • LDAP - viết tắt của Lightweight Directory Access Protocol, hay dịch ra tiếng Việt có nghĩa là giao thức truy cập nhanh các dịch vụ thư mục
    • Nó là giao thức dạng Client/Server dùng để truy cập dịch vụ thư mục.
    • LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác
  • Nguồn gốc của LDAP
    • Bản chất của LDAP là một phần của dịch vụ thư mục X.500(DAP). LDAP thực chất được thiết kế như một giao thức nhẹ nhàng .
    •   X500 được biết như là một heavyweight. Nó yêu cầu client và server liên lạc với nhau sử dụng theo mô hình OSI . Mô hình 7 tầng của OSI là một mô hình chuẩn phù hợp trong thiết kế với giao thức mạng, nhưng khi so sánh với chuẩn TCP/IP thì nó trở nên không còn hợp lý.
    •   LDAP được so sánh với lightweight vì nó sử dụng gói tin overhead thấp, nó được xác định chính xác trên lớp TCP ( mặc định là cồng 389) của danh sách các giao thức TCP/IP. Bởi vì X.500 là một lớp giao thức ứng dụng, nó chứa nhiều thứ hơn ví dụ như các network header được bao quanh các gói tin ở mỗi layer trước khi nó được chuyển đi trong mạng .
    •     LDAP được coi là lightweight bởi vì nó đã lược bỏ rất nhiều những phương thức ít được dùng của X.500
    • C ung cấp một mô hình đơn giản cho người lập trình và quản trị hệ thống
  •  
  • Cấu trúc LDAP-Khái niệm Directory
    • Một thư mục là list thông tin về các đối tượng,được sắp xếp một cách chi tiết về mỗi đối tượng
    • Trong Computer thì thư mục là một database đặc biệt,lư u trữ thông tin về các đối tượng
    • Thư mục cho phép user và ứng dụng có thể tìm kiếm tài nguyên để phục vụ cho các task
    • Mặc dù thư mục xem như database nhưng thư mục thì thường chứa thông tin tĩnh ,ít thay đổi khác với DB
    • Thư mục thường được đọc nhiều hơn là update,written
  • Cấu trúc LDAP- Directory Service
    • Directory Service :
    • là một loại service có thể nằm trên client hoặc server
    • Khái niệm Directory services thì không có gì mới,nếu chúng ta đã từng làm quen với dịch vụ DNS (phân giải tên miền).Tuy nhiên, một số người thường nhầm lẫn Directory services giống như một database
  • Cấu trúc LDAP- Directory Service : (cont…)
    • Directory services và Database cùng có chung các chức năng giống nhau như hổ trợ tìm kiếm dữ liệu nhanh chóng và chứa các file cấu hình hệ thống extendable schema. nhưng chúng khác nhau ở chổ một Directory services được thiết kế để lấy dữ liệu nhiều hơn là ghi không giống như một Database cung cấp khả năng đọc và ghi dữ liệu với tần số liên tục .
    • Một ví dụ phổ biến của service là :file services,
    • mail services, print services, Web page services….
  • Cấu trúc LDAP(cont…)
    • LDAP (Lightweight Directory Access Protocol) là một chuẩn mở rộng cho nghi thức truy cập thư mục, hay là một ngôn ngữ để LDAP client và severs sử dụng để giao tiếp với nhau
    • LDAP l à một giao thức hướng thông điệp
    • Nó là giao thức dạng Client/Server
    • LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác.
    • Là một mô hình thông tin cho phép xác định cấu trúc và đặc điểm của thông tin trong thư mục.
    • Là một giao thức mở rộng ,được định nghĩa nhiều phương thức mở rộng cho việc truy cập và update thông tin trong thư mục
    • LDAP một nghi thức thuộc tầng ứng dụng
  • Cấu trúc LDAP(cont…)
    • LDAP tổ chức data theo thư mục phân cấp:
  •  
  •  
  • Cấu trúc LDAP(cont…)
    • Thành phần cơ bản của LDAP directory là entry , chứa toàn bộ thông tin của một đối tượng
    • Mỗi Entry có một tên đặc trưng kí hiệu là (DN: distinguished name )
    • Một entry là tập hợp của các thuộc tính, từng thuộc tính này mô tả một nét đặt trưng tiêu biểu của một đối tượng. Mỗi thuộc tính có kiểu một hay nhiều giá trị, kiểu của thuộc tính mô tả loại thông tin được chứa, giá trị là dữ liệu thực sự
    • Ví dụ: một entry mô tả một người với các thuộc tính: tên họ, tên, số điện thoại, và địa chỉ email.
  • Mô hinh của một Entry
  • Cấu trúc của entry trong Directory
  • Cấu trúc LDAP (cont..)
    • Dịch vụ thư mục LDAP được dựa trên một mô hình client-server
  • Cấu trúc LDAP (cont..)
    • LDAP l à một giao thức hướng thông điệp :
    • Do client và sever giao tiếp thông qua các thông điệp,Client tạo một thông điệp (LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận được thông điệp và x ử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP
    • Ví dụ:khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong một thông điệp LDA
  •  
  •  
  • Cấu trúc LDAP(cont...)
    • Do nghi thức LDAP là nghi thức thông điệp nên, client được phép phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng để phân biệt các yêu cầu của client và kết quả trả về của server.
  • Cấu trúc LDAP(cont...)
    • Việc cho phép nhiều thông điệp cùng sử lý đồng thời làm cho LDAP linh động hơn các nghi thức khác
    • ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file
    • LDAP thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối.
  • Các thao tác của trên LDAP
    • LDAP có 9 thao tác cơ bản, chia thành 3 nhóm thao tác chính:
    • Thao tác thẩm tra (interrogation) : search, compare Hai thao tác này cho phép chúng ta thực hiện thẩm tra trên thư mục
    • Thao tác cập nhật (update): add, delete, modify, modify DN ( rename ). Những thao tác này cho phép chúng ta thực hiện cập nhật thông tin trên thư mục.
    • Thao tác xác thực và điều kiển(authentiaction and control) : bind, unbind, abandon. Thao tác bind cho phép client tự xác định được mình với thư mục, thao tác này cung cấp sự xác nhận và xác thực chứng thư; unbind cho phép client huỷ bỏ phân đoạn làm việc hiện hành; và cuối cùng là thao tác abandon cho phép client chỉ ra các thao tác mà kết quả client không còn quan tâm đến nữa.
  • Các thao tác của trên LDAP (cont..)
    • Ngoài 9 thao tác cơ bản. LDAP version 3 được thiết kế mở rộng thông qua 3 thao tác
    • Thao tác mở rộng LDAP(LDAP extended operations) – đây là một nghi thức thao tác mới. Trong tương lai nếu cần một thao tác mới, thì thao tác này có thể định nghĩa và trở thành chuẩn mà không yêu cầu ta phải xây dựng lại các thành phần cốt lõi của LDAP.
    • LDAP control - Những phần của thông tin kèm theo cùng với các thao tác LDAP, thay đổi hành vi của thao tác trên cùng một đối tượng.
  • Các thao tác của trên LDAP (cont..)
    • Xác thực đơn giản và tầng bảo mật (Simple Authentication and Security Layer SASL) là một mô hình hổ trợ cho nhiều phương thức xác thực. Bằng cách sử dụng mô hình SASL để thực hiện chứng thực. LDAP có thể dễ dàng thích nghi với các phương thức xác thực mới khác, SASL còn hổ trợ một mô hình cho client và server có thể đàm phán trên hệ thống bảo mật diển ra ở các tầng thấp(dẫn đến độ an toàn cao). Mặt dù như vậy nhưng các mô hình này của SASL đều thích nghi với các nghi thức của internet
  • Các mô hình của LDAP
    • Information Model: Model cho ta biết thông tin hoặc dữ liệu được thể hiện như thế nào trong một hệ thống có kích hoạt LDAP.
    • Naming Model : mô hình này định nghĩa tổ chức và tham khảo đến data như thế nào .
    • Functional Model : Mô tả các hoạt động có thể thực hiện trên Directory thông qua giao thức LDAP
    • Security Model : Mô hình này giúp bạn có thể kiểm soát 1 cách tinh tế những người dùng trên dữ liệu. Đây là mô hình phức tạp nhưng có công cụ mạnh mẽ để giúp bạn quản lý vấn đề về bảo mật.
  • Information Model
    • Mô hình LDAP Information định nghĩa ra các kiểu của dữ liệu và các thành phần cơ bản của thông tin mà bạn có thể chứa trong thư mục. Hay chúng ta có thể nói rằng LDAP Information mô tả cách xây dựng ra các khối dữ liệu mà chúng ta có thể sử dụng để tạo ra thư mục.
    • Thành phần cơ bản của thông tin trong một thư mục gọi là entry .Đây là một tập hợp chứa các thông tin về đối tượng (Object).
    • Thường thì các thông tin trong một entry mô tả một đối tượng thật như là thông tin về người, nhưng đây không phải là qui định bắt buộc với mô hình.
  • LDAP SCHEMA
    • Thiết lập các rule mô tả những loại data gì được lưu trữ
    • Giúp quản lí một cách nhất quán và chất lượng của data
    • Giảm sự trùm lắp data
    • Bảo đảm rằng tất cả ứng dụng đều có interface phù hợp trên data
    • Object class attibute xác định rõ những Schema rule mà entry phải làm theo
  • LDAP Schema (cont…)
    • Schema chứa đựng những thông tin sau:
    • Những thuộc tính yêu cầu
    • Những thuộc tính được phép
    • So sánh các thuộc tính đó như thế nào
    • Giới hạn những thuộc tính gì có thể lưu trữ
    • Những thông tinh gì thì bị cấm lưu trữ,hay sao lưu
  • Objectclass
    • Sử dụng để nhóm các thông tin lại
    • Cung cấp những rule sau đây:
    • Thuộc tính yêu cầu
    • Thuộc tính được phép
    • Dễ dàng lấy được nhóm thông tin
    • Entry có thể có nhiều objectclass,nhưng bắt buộc phải có objectclass
    • Theo chuẩn LDAP thì có những loại object class sau:
    • Groups in the directory
    • Locations
    • Organizations in the directory
    • People in the directory.
  • LDIF
    • LDIF :viết tắt LDAP Interchange Format được định nghĩa trong RFC 2849
    • S ử dụng để import dữ liệu mới vào trong directory của bạn xuất hoặc thay đổi dữ liệu đã có
    • L à một chuẩn định dạng file text lưu trữ những thông tin cấu hình LDAP và nội dung thư mục.
    • Thông thường một file LDIF sẽ theo khuôn dạng sau: - Mỗi một tập entry khác nhau được phân cách bởi một dòng trắng - Sự sắp đặt của tên thuộc tính là theo giá trị - Một tập các chỉ dẫn cú pháp để làm sao xử lý được thông tin
  • LDIF (cont…)
    • Dữ liệu trong file LDIF cần phải tuân theo một luật có trong schema của LDAP directory
    • Mọi thành phần được thêm vào hoặc thay đổi trong directory của bạn sẽ được check lại trong schema để đảm bảo sự chính xác
    • Ví dụ entry trong LDIF
  • LDiF(cont…)
    • Một Entry thư mục trong LDIF:
    • dn: uid=bjensen, dc=airius, dc=com
    • objectClass: top
    • objectClass: person
    • objectClass: organizationalPerson
    • objectClass: inetOrgPerson
    • cn: Barbara Jensen
    • cn: Babs Jensen
    • sn: Jensen
    • mail: bjensen@airius.com
    • telephoneNumber: +1 408 555 1212
    • description: A big sailing fan.
  • LDiF(cont…)
    • Các thuộc tính cũng phân thành 2 loại: thuộc tính người dùng, thuộc tính thao tác
    • Thuộc tính người dùng (user attributes) là các thuộc tính bình thường của một entry thư mục, các thuộc tính này có thể được điều chỉnh bởi user của thư mục(tất nhiên là các thao tác sữa chữa được phép
    • Thuộc tính thao tác (operational attributes) đây là các thuộc tính đặc biệt và chỉ có thể được điều chỉnh bởi directory server hay là các thuộc tính cho biết trạng thái của thư mục
  • LDiF(cont…)
    • dn: uid=bjensen, ou=people, dc=example, dc=com
    • changetype: add
    • objectclass: top
    • objectclass: person
    • objectclass: organizationalPerson
    • objectclass: inetOrgPerson
    • cn: Barbara Jensen
    • cn: Babs Jensen
    • givenName: Barbara sn: Jensen
  • Naming Model
    • Mô hình LDAP Naming định nghĩa ra cách để chúng ta có thể sắp xếp và tham chiếu đến dữ liệu của mình. Hay chúng ta có thể nói rằng mô hình này mô tả cách sắp xếp các entry của chúng vào một cấu trúc có logical, và mô hình LDAP Naming chỉ ra cách để chúng ta có thể tham chiếu đến bất kỳ một entry thư mục nào nằm trong cấu trúc đó.
    • Mô hình LDAP Naming cho phép chúng ta có thể đặt dữ liệu vào thư mục theo cách mà chúng ta có thể dễ dàng quản lý nhất
  • Naming Model (cont..)
    • Ví dụ như chúng ta có thể tạo ra một container(khái niệm vật thể chứa đựng) chứa tất cả các entry mô tả người trong một tổ chức, và một container chứa tất cả các group của bạn, hoặc bạn có thể thiết kế entry theo mô hình phân cấp theo cấu trúc tổ chức của bạn. Việc thiết kế tốt cần phải có những nghiên cứu thoả đáng
  • Distinguished names
    • Distinguished names (DNs) trong LDAP đây là tên của một entry chỉ ra cách bạn có thể tham chiếu đến các entry trên thư mục, hai entry khác nhau trên thư mục hai DNs cũng khác nhau
    • Giống như đường dẫn của hệ thống tập tin, tên của một entry LDAP được hình thành bằng cách nối tất cả các tên của từng entry cấp trên (cha) cho đến khi trở lên root, như hình dưới ta thấy node có màu đậm sẽ có tên là uid=bjensen, ou=people, dc=airius, dc=com nếu chúng ta đi từ trái sang phải thì chúng ta có thể quay ngược lại đỉnh của câ y
  •  
  • Relative Distingguished name
    • Kí hiệu là :RDN
    • T hành phần trái nhất được gọi là relative distingguished name (RDN)
    • RDN là tên phân biệt các entry
    • DN là tên duy nhất cho mỗi entry trên thư mục, do đó các entry có chùng cha thì RDN cũng phải phân biệt
    • Ví dụ hình sau ta thấy
  • Mặc dù cho có hai entry có cùng RDN cn=Joohn Smith như hai entry ở hai nhánh khác nhau.
  • Bí Danh(Alias)
    • Những entry bí danh (Aliases entry)trong thư mục LDAP cho phép một entry chỉ đến một entry khác
    • k hái niệm Aliases entry giống như khái niệm symbolic links trong UNIX hay shortcuts trên WINDOW
    • K hông phải tất cả các LDAP Directory Server đều hổ trợ Aliases vì:
    • Alias entry có thể chỉ đến bất kì một entry nào,kể cả LDAP server khác
    • Việc tìm kiếm alias entry trên một cây thư mục khác nằm trên server LDAP,làm tăng chi phí cho việc tìm kiếm
  •  
  • Bí Danh(Alias)
    • Để tạo ra một alias entry trong thư mục trước tiên bạn phải tạo ra một entry với tên thuộc tính là aliasedOjecctName với giá trị thuộc tính là DN của entry mà chúng ta muốn alias entry này chỉ đến.
    • Ví dụ:
    • dn: uid=alias,ou=People,dc=example,dc=net
    • objectclass: alias
    • objectclass: extensible
    • Object uid: alias
    • aliasedobjectname :
    • uid=target,ou=RetiredPeople,dc=example,dc=com
  • Functional Model
    • Đ ây là mô hình mô tả các thao tác cho phép chúng ta có thể thao tác trên thư mục
    • Mô hình LDAP Functional chứa một tập các thao tác chia thành 3 nhóm
    • Thao tác thẩm tra (interrogation) cho phép bạn có thể search trên thư mục và nhận dữ liệu từ thư mục.
    • Thao tác cập nhật (update): add, delete, rename và thay đổi các entry thư mục
    • Thao tác xác thực và điều kiển(authentiaction and control) cho phép client xác định mình đến cho thư mục và điều kiển các hoạt động của phiên kết nối
    • LDAP version ngoài 3 nhóm thao tác trên, còn có thao tác LDAP extended thao tác này cho phép nghi thức LDAP sau này có thể mở rộng một cách có tổ chức và không làm thay đổi đến nghi thức
  • Các thao tác thẩm tra-Interrogation
    • Hai thao tác thẩm tra cho phép client có thể tìm và nhận lại thông tin từ thư mục. N hưng LDAP không có thao tác đọc một entry thư mục,do đó khi đó chúng ta muốn đọc một entry thì ta phải thực hiện tìm kiếm và dừng tìm kiếm ngay khi nhận được kết quả đầu tiên. Thao tác tìm kiếm (LDAP search operation) yêu cầu 8 tham số :
    • Tham số đầu tiên : là đối tượng cơ sở mà các thao tác tìm kiếm thực hiện trên đây t ham số này là DN chỉ đến đỉnh của cây mà chúng ta muốn tìm.
  • Các thao tác thẩm tra-Interrogation (cont…)
    • Tham số thứ hai :là phạm vi cho việc tìm kiếm, chúng ta có 3 phạm vi thực hiện tìm kiếm:
    • Phạm vi “base” chỉ ra rằng bạn muốn tìm ngay tại đối tượng cơ sở
    • Phạm vi “onelevel” thao tác tìm kiếm diễn ra tại cấp dưới (con trực tiếp của đối tượng cơ sở)
    • Phạm vi “subtree” thao tác này thực hiện tìm hết trên cây mà đối tượng cơ sở là đỉnh.
    • Hình minh họa cho từng phạm vi
  •  
  •  
  •  
  • Các thao tác thẩm tra-Interrogation (cont…)
    • Tham số thứ ba : derefAliases cho server biết rằng liệu bí danh aliases có bị bỏ q ua hay không tham khảo đến khi thực hiện tìm kiếm, có 4 giá trị mà derefAliases có th ể nhận được:
    • nerverDerefAliases - nghĩa là thực hiện tìm kiếm và không bỏ qua bí danh (aliases) trong lúc thực hiện tìm kiếm và áp dụng với cả đối tượng cơ sở
    • derefInsearching - bỏ qua các aliases trong trong các entry cấp dưới của đối tượng cơ sở, và không quan tâm đến thuộc tính của đối tượng cơ sở..
    • derefFindingBaseObject - ngược lại với giá trị thuộc tính trên với giá trị này thì việc tìm kiếm sẽ bỏ qua các aliases của đối tượng cơ sở, và không quan tâm đến thuộc tính của các entry thấp hơn đối tượng cơ sở
    • derfAlways - bỏ qua cả hai nếu việc tìm kiếm thấy đối tượng cơ sở hay là các entry cấp thấp là các entry aliases.
  • Các thao tác thẩm tra-Interrogation (cont…)
    • Tham số thứ bốn : cho server biết có tối đa bao nhiêu entry kết quả được trả về
    • Ví dụ 1:Nếu tham số này 100,nếu server tìm thấy 200,chỉ trả về client 100 entry
    • Ví dụ 2:Nếu tham số này 0,thì server trả về toàn bộ kết quả
    • Tham số thứ năm : qui định thời gian tối đa cho việc thực hiện tìm kiếm
  • Các thao tác thẩm tra-Interrogation (cont…)
    • Tham số thứ sáu : attrOnly – là một tham số kiểu bool
    • Nếu attrOnly=true ,thì server sẽ trả về các thuộc tính của entry
    • Nếu attrOnly=false ,thì server sẽ trả về các thuộc tính và giá trị của entry
    • Tham số thứ bảy : là bộ lọc tìm kiếm(search filter) đây là một biểu thức mô tả các loại entry sẽ được giữ lại
    • Tham số thứ tám : và đây là tham số cuối cùng đây là một danh sách các thuộc tínhđược giữ lại với mỗi entry. Bạn có thể chỉ định các thuộc tính được giữ lại.
  •  
  • Các thao tác thẩm tra-Interrogation (cont…)
    • Trong hình trên c hỉ có LDAP version 3 hổ trợ cho bộ lọc này: đây là một bộ lọc thiết kế cho các thao tác tìm kiếm phát triển trong tương lai. Bộ lọc này mang tính dễ dàng mở rộng của LDAP khi các thao tác tìm kiếm phát triển
    • Cú pháp của bộ lọc mở rộng này khá phức tạp, gồm có 5 phần và 3 trong đó là các t uỳ chọn
  • Cú pháp ldapsearch
  • Thao tác cập nhật
    • Có 4 thao tác cập nhật:add,delete,rename,modify:
    • Add : Thao tác add tạo ra một entry mới với tên DN và danh sách các thuộc tính truyền vào, khi thực hiện add một entry mới vào thư mục phải thoả các điều kiện sau :
    • Entry là nút cha của entry mới phải tồn tại
    • Chưa tồn tại một entry nào có cùng tên DN với entry mới trên thư mục
    • Delete : T hao tác xoá (delete) chỉ cần truyền vào tên của entry cần xoá và thao tác thực hiện được nếu như:
    • Entry tồn tại với tên là DN truyền vào.
    • Entry bị xoá không có các entry con.
  • Thao tác cập nhật (cont..)
    • Rename: Thao tác rename hay modify DN sử dụng để đổi tên hay dùng để di chuyển các entry trong thư mục, các tham số cần truyền vào là DN của entry cần đổi tên, RDN mới của entry và một số tham số tuỳ chọn dành cho các entry là cha mới của entry di chuyển đến, và cuối cùng là một cờ cho phép xoá hay không xóa với RDN cũ. Cũng như trên thao tác thực hiện được nếu như thoả :
    • Các entry bị đổi tên phải tồn tại.
    • Tên mới của entry phải chưa tồn tại.
  • Thao tác cập nhật (cont..)
    • Update : Thao tác cuối cùng là thao tác cập nhật với tham số DN và tập hợp các thay đổi được áp dụng lên đây. Và thao tác này đòi hỏi :
    • Entry với DN truyền vào phải tồn tại.
    • Tất cả các thuộc tính thay đổi đều thực hiện thành công.
    • Các thao tác cập nhật phải là các thao tác được phép.
    • Nếu một điều kiện nào ở trên không thoả thì cách cập nhận sẽ không được áp dụng trên entry.
  • Một số hinh ảnh về minh họa
  •  
  •  
  • Cú pháp của một số thao tác
  • Cú pháp của một số thao tác
  • LDAP authentication and control Operations
    • Thao tác xác thực gồm: thao tác bind và unbind.
    • Thao tác điều kiển :thao tác abandon
    • Bind :Thao tác bind là cách client xác thực với server
    • Unbind : Thao tác unbind, khi client phát ra thông báo này thì server sẽ huỹ bỏ các thông tin liên quan đến khách hàng huỷ bỏ tất cả các thao tác đang thi hành trên thư mục và đóng kết nối TCP.
    • Abandon : Thao tác abandon có một tham số duy nhất đó là ID của thông điệp, client thực hiện thao tác này khi không quan tâm đến kết quả của thao tác bất kỳ trước đó.
  • LDAP Security
    • Vấn đề cuối cùng trong các mô hình LDAP là việc bảo vệ thông tin trong thư mục khỏi các truy cập không được phép.
    • Khi thực hiện thao tác bind dưới một tên DN hay có thể client một người vô danh thì với mỗi user có một số quyền thao tác trên entry thư mục. Và những quyền nào được entry chấp nhận tất cả những điều trên gọi là truy cập điều kiển (access control).
    • Hiện nay LDAP chưa định nghĩa ra một mô hình Access Control, các điều kiển truy cập này được thiết lập bởi các nhà quản trị hệ thống bằng các server software.
  • Directory Security
    • No authentication
    • Basic authentication
    • SASL:chỉ có trong LDAP version3 và được định nghĩa trong RFC222
    • SSL and TLS
  • Configure the LDAP SERVER
  • Một số ứng dụng LDAP
  •  
    • Dùng LDAP xác thực một user đăng nhập vào một hệ thống qua chương trình thẩm tra, chương trình thực hiện như sau đầu tiên chương trình thẩm tra tạo ra một đại diện để xác thực với LDAP thông qua (1) sau đó so sánh mật khẩu của user A với thông tin chứa trong thư mục. Nếu so sánh thành công thì user A đã xác thực thành công
  • Tài liệu tham khảo