如果您是刚接触Active Directory (AD)的初学者,那么当您发现LDAP这个术语时可能会感到十分迷茫。今天就让我们来帮您熟悉 LDAP,相信这对于您学习AD域管理也会有帮助。
首先,让我们直面主题!什么是 LDAP?
LDAP指轻型目录访问协议,允许用户查询自身及其他用户属性、资源、应用程序和其他活动目录的详细信息。它是使AD域各类功能成为可能的主要协议。
一、LDAP 扮演的角色如下:
用于对用户进行身份验证和授权,以便用户可以访问和修改网络中的数据和资源。
它为客户端提供了一种通信语言,用于与服务器进行交互并从活动目录服务中请求所需的信息。
LDAP 使用绑定操作授权客户端在成功验证后访问LDAP服务器。绑定操作包括绑定请求和绑定响应。
二、LDAP 绑定请求由以下三个参数组成:
LDAP 版本:指定客户端要使用的LDAP版本。当前主流版本是LDAP Version 3,但一些老客户可能仍然需要LDAP Version 2。
专有名称(DN):DN 唯一标识活动目录中的对象。在匿名身份验证的情况下,该字段的值可以为0。
认证方式:客户端可以使用以下任意一种认证方式:匿名认证、简单认证或简单认证和SASL认证。
为了更好地理解这一点,让我们用一个例子更好的说明其功能。小邓想要使用公司五楼的扫描仪来扫描一些文件。LDAP使他能够搜索和定位五楼的扫描仪,并进一步验证和授权他访问扫描仪并进行安全连接。
三、以下步骤详细阐明了LDAP如何执行此身份验证和授权过程:
步骤一:小邓(用户,也称为客户端或活动目录用户代理 (DUA))连接到 LDAP 服务器(也称为活动目录系统代理 (DSA))。
步骤二:小邓使用LDAP向服务器发送搜索请求,请求使用五楼的某台扫描器。
步骤三:LDAP数据库对小邓进行身份验证。
步骤四:LDAP搜索活动目录并将请求的扫描仪地址返回给小邓。
步骤五:小邓收到请求的响应并断开与LDAP服务器的连接。
在上述过程中,LDAP服务器可以使用三种方式中的任何一种来对小邓进行身份验证。他们分别是:
匿名身份验证:在此方法中,客户端通过发送绑定请求连接到服务器,其中用户名值为0,密码值为 0。使用此方法,客户端可用的信息范围通常很小。
简单认证:在这种方法中,客户端输入他们的用户名和密码来与LDAP服务器绑定。然后,服务器根据存储在 LDAP数据库中的数据进行身份验证。
SASL认证:在这种方法中,LDAP服务器使用类似于AD域中的Kerberos的认证机制来执行身份认证。
LDAP与大多数活动目录服务兼容,例如:OpenLDAP,它是Microsoft AD中采用的关键协议之一。
现在假设小邓的组织有5,000多名员工。管理和存储所有这些用户的信息(及其属性)以及他们使用的资源需要大量的时间和精力。要从海量的数据中提取信息,这时我们就需要使用 LDAP。
因此,LDAP可以帮助客户端以安全的方式与AD域通信,并在身份验证和授权后从AD域数据库中提取所需的信息。
