LDAP在活动目录中的应用

　　LDAP的英文全称是Lightweight Directory Access Protocol，简称为LDAP。它是基于X.500标准的，但是又比它简单许多，并且可以根据需要定制的一种目录服务协议。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
　　
　　　　目录服务的工作模型是客户机/服务器模型。1988年，CCITT组织首先创建了X.500标准全面描述了这一模型，包括目录服务器的目录结构、命名方法、搜索机制以及用于客户机与服务器通信的协议DAP（Directory Access Protocol）。此标准很快被ISO组织引用，编号为ISO 9594。但是，在实际应用的过程中，X.500存在着不少障碍。由于DAP这种应用层的协议是严格遵照复杂的ISO七层协议模型制定的，对相关层协议环境要求过多，在许多小系统上无法使用，TCP/IP协议体系的普及更使这种协议越来越不适应需要。在这种情况下，DAP的简化版棗LDAP应运而生。早期设计的LDAP服务器不是独立的目录服务器，主要扮演LDAP客户机与X.500服务器间网关的角色，既是LDAP的服务器又是X.500的客户机。如今的LDAP服务器可取代X.500服务器而独立提供服务。

网管下载dl.bitscn.com

　　　　LDAP服务器的目录组织以“条目”为基本单位，结构类似树形，每一个条目即是树上的一个分枝节点或叶子。一个条目由多个“属性”组成，每个属性又由一个“类型”和一到多个“值”组成。LDAP协议直接基于面向连接的TCP协议实现，定义了LDAP客户机和LDAP服务器间的通信过程和信息格式。LDAP服务器在服务端口（缺省端口号为389）监听，收到客户机的请求后，建立连接，开始会话。活动目录与DNS协议的结合的意义在于使内部网与外部网命名方式保持一致，这样便于整个网络的管理。LDAP协议是用于查询和检索活动目录信息的目录访问协议。由于它是基于工业标准的目录服务协议，使用 LDAP 的程序可以发展成与其他目录服务共享活动目录信息，这些目录服务同样支持LDAP。活动目录信息活 动目录使用LDAP 目录访问协议作为它与其他应用或者目录服务交换信息的手段。LDAP 已经成为 目录服务的标准，它比X.500 DAP 协议更为简单实用一些。Microsoft 已经在Exchange Server 系统中提供了LDAP v2 和LDAP v3 的支持， 在WIN2K 的活动目录服 务中将提供更为全面的支持。
　　
　　　　值得一提的是LDAP 协议中采用的命名格式， 因为我们需要通过名字信息访问目录对象，所以名字格式对于用户或者应用程序非常重要。活动目录支持大多数的名字格式类型。较为常用的格式有以下两种：
　　
　　　　（1） RFC822 命 名 法
　　
　　这种命名法的标准格式为：object_name@domain_name，形式非常类似于电子邮件地址，比如Myname@mydomain.com。活动目录为所有的用户提供了这种式的好名字，所以用户可以直接使用该友好名字当作电子邮件地址，也可以用作登录系统时的账户名。
　　
　　　　（2） LDAP URL 和X.500 名 字
　　
　　　　任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP 协议访问活动目录，LDAP 名不像普通的Internet URL 名字那么直观，但是LDAP 名往往隐藏在 应用系统的内部，最终用户很少直接使用LDAP 名。LDAP 名使用X.500 命名规 范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。