GVHD:TS.PHẠM VĂN TÍNH

Đỗ Hoàng TuyênPhạm Phanh PhươngNguyễn Trung Tín

Nội Dung

Tại Sao lại sử dụng LDAPLDAP là gì?Cấu trúc LDAPNhững mô hình trong LDAPMột vài mô hình ứng dụng

Tại sao sử dụng LDAPHiện nay, để xây dựng các hệ thống lớn, điều tối quan trọng là

phải làm cách nào để có thể tích hợp dữ liệu để từ đó có thể dùng chung giữa các hệ thống khác nhau. Trong đó, tích hợp tài khoản của người sử dụng là vấn đề cần thiết nhất trong những cái "tối quan trọng" trên.

Hãy tưởng tượng một hệ thống với khoảng 5 - 6 mô đun khác nhau, mỗi mô đun lại được thiết kế trên một nền tảng khác nhau ( Oracle + AS Portal, có người thì xài DB2 với WebSphere, lão khác thì MySQL , ông thì xài Wíndow, lão thì cài Linux, Unix), do đó cần có một hệ thống người dùng khác nhau. Vậy thì với mỗi mô đun, người sử dụng cần phải có một User Name, một mật khẩu khác nhau, đó là điều không thể chấp nhận được. Người dùng chẳng mấy chốc mà chán ghét hệ thống.

Làm cách nào để có thể tích hợp được người dùng giữa các hệ thống trên?

Câu trả lời đó là LDAP.=>Như Vậy LDAP là gì?

Network Information SystemNIS:là hệ thống thông tin mạngNIS là giao thức tương tự như LDAP nhưng còn

khá nhiều hạn chếĐược phát triển bởi Sun MicroSystem ,ban đầu

được Sun đặt tên là Yellow Page nhưng lại đụng độ với tên của một số công ty điện thoại,nên đổi tên lại

Được tích hợp trong hệ thống Unix trước đây• Với một nhóm 50 trạm làm việc, khi người điều hành hệ thống

thêm vào một người sử dụng mới thì người sử dụng đó phải được thêm vào 50 file password, 50 file thư tín…

Network information systemNIS ra đời giải quyết phần lớn các vấn đề này bằng cách

đặt hầu hết các thông tin quản lý vào một nơi do NIS kiểm soát và mọi trạm làm việc đều tham chiếu đến các file NFS thay vì đến các file riêng của họ.

Khi có một người sử dụng mới, người điều hành chỉ phải thêm người sử dụng đó vào cơ sở dữ liệu NFS được dùng chung, do đó tức thời làm cho người mới vào có thể làm việc với tất cả các trạm làm việc.

Network information systemTuy nhiên, thỉnh thoảng nó cũng bị mất đồng bộ (sau khi người

quản trị cập nhật các file chính, cần phải thực hiện một số lệnh để làm phát sinh lại cơ sở dữ liệu NIS và dễ mắc sai lầm).

Khi NIS không đồng bộ, nó có thể gây ra những kết quả rất kỳ dị.

Thiết kế của NIS cũng làm cho nó có thể tạo ra một số lỗ hổng gây bối rối về tính an toàn –

Một sự khó chịu nhỏ nếu các máy tính chỉ chịu sự truy cập của một số ít người sử dụng đáng tin cậy nhưng lại là một thảm họa tiềm tàng nếu bất kỳ ai trong số hàng triệu người sử dụng trên Internet có thể lọt vào

LDAP là gìLDAP - viết tắt của Lightweight Directory Access

Protocol, hay dịch ra tiếng Việt có nghĩa là giao thức truy cập nhanh các dịch vụ thư mục

Nó là giao thức dạng Client/Server dùng để truy cập dịch vụ thư mục.

LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác

Nguồn gốc của LDAPBản chất của LDAP là một phần của dịch vụ thư mục

X.500(DAP). LDAP thực chất được thiết kế như một giao thức nhẹ nhàng.

 X500 được biết như là một heavyweight. Nó yêu cầu client và server liên lạc với nhau sử dụng theo mô hình OSI . Mô hình 7 tầng của OSI là một mô hình chuẩn phù hợp trong thiết kế với giao thức mạng, nhưng khi so sánh với chuẩn TCP/IP thì nó trở nên không còn hợp lý.

 LDAP được so sánh với lightweight vì nó sử dụng gói tin overhead thấp, nó được xác định chính xác trên lớp TCP ( mặc định là cồng 389) của danh sách các giao thức TCP/IP. Bởi vì X.500 là một lớp giao thức ứng dụng, nó chứa nhiều thứ hơn ví dụ như các network header được bao quanh các gói tin ở mỗi layer trước khi nó được chuyển đi trong mạng.

   LDAP được coi là lightweight bởi vì nó đã lược bỏ rất nhiều những phương thức ít được dùng của X.500

Cung cấp một mô hình đơn giản cho người lập trình và quản trị hệ thống

Cấu trúc LDAP-Khái niệm DirectoryMột thư mục là list thông tin về các đối

tượng,được sắp xếp một cách chi tiết về mỗi đối tượng

Trong Computer thì thư mục là một database đặc biệt,lư u trữ thông tin về các đối tượng

Thư mục cho phép user và ứng dụng có thể tìm kiếm tài nguyên để phục vụ cho các task

Mặc dù thư mục xem như database nhưng thư mục thì thường chứa thông tin tĩnh ,ít thay đổi khác với DB

Thư mục thường được đọc nhiều hơn là update,written

Cấu trúc LDAP- Directory Service Directory Service :là một loại service có thể nằm trên

client hoặc serverKhái niệm Directory services thì không có gì

mới,nếu chúng ta đã từng làm quen với dịch vụ DNS (phân giải tên miền).Tuy nhiên, một số người thường nhầm lẫn Directory services giống như một database

Cấu trúc LDAP-Directory Service :(cont…)

Directory services và Database cùng có chung các chức năng giống nhau như hổ trợ tìm kiếm dữ liệu nhanh chóng và chứa các file cấu hình hệ thống extendable schema. nhưng chúng khác nhau ở chổ một Directory services được thiết kế để lấy dữ liệu nhiều hơn là ghi không giống như một Database cung cấp khả năng đọc và ghi dữ liệu với tần số liên tục.

Một ví dụ phổ biến của service là :file services,

mail services, print services, Web page services….

Cấu trúc LDAP(cont…)LDAP (Lightweight Directory Access Protocol) là một chuẩn

mở rộng cho nghi thức truy cập thư mục, hay là một ngôn ngữ để LDAP client và severs sử dụng để giao tiếp với nhau

LDAP là một giao thức hướng thông điệpNó là giao thức dạng Client/ServerLDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác.Là một mô hình thông tin cho phép xác định cấu trúc và đặc

điểm của thông tin trong thư mục.Là một giao thức mở rộng ,được định nghĩa nhiều

phương thức mở rộng cho việc truy cập và update thông tin trong thư mục

LDAP một nghi thức thuộc tầng ứng dụng

Cấu trúc LDAP(cont…)LDAP tổ chức data theo thư mục phân cấp:

Cấu trúc LDAP(cont…)Thành phần cơ bản của LDAP directory là

entry, chứa toàn bộ thông tin của một đối tượng

Mỗi Entry có một tên đặc trưng kí hiệu là (DN: distinguished name )

Một entry là tập hợp của các thuộc tính, từng thuộc tính này mô tả một nét đặt trưng tiêu biểu của một đối tượng. Mỗi thuộc tính có kiểu một hay nhiều giá trị, kiểu của thuộc tính mô tả loại thông tin được chứa, giá trị là dữ liệu thực sự

Ví dụ: một entry mô tả một người với các thuộc tính: tên họ, tên, số điện thoại, và địa chỉ email.

Mô hinh của một Entry

Cấu trúc của entry trong Directory

Cấu trúc LDAP(cont..)Dịch vụ thư mục LDAP được dựa trên một mô hình

client-server

Cấu trúc LDAP(cont..)LDAP là một giao thức hướng thông điệp: Do client và sever giao tiếp thông qua các thông

điệp,Client tạo một thông điệp (LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận được thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP

Ví dụ:khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong một thông điệp LDA

Cấu trúc LDAP(cont...)Do nghi thức LDAP là nghi thức thông điệp nên, client

được phép phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng để phân biệt các yêu cầu của client và kết quả trả về của server.

Cấu trúc LDAP(cont...)Việc cho phép nhiều thông điệp cùng sử lý đồng thời làm

cho LDAP linh động hơn các nghi thức khác ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả

lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file

LDAP thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối.

Các thao tác của trên LDAPLDAP có 9 thao tác cơ bản, chia thành 3 nhóm thao tác chính: Thao tác thẩm tra (interrogation) : search, compare Hai thao tác này

cho phép chúng ta thực hiện thẩm tra trên thư mục Thao tác cập nhật (update): add, delete, modify, modify DN ( rename

). Những thao tác này cho phép chúng ta thực hiện cập nhật thông tin trên thư mục.

Thao tác xác thực và điều kiển(authentiaction and control) : bind, unbind, abandon. Thao tác bind cho phép client tự xác định được mình với thư mục, thao tác này cung cấp sự xác nhận và xác thực chứng thư; unbind cho phép client huỷ bỏ phân đoạn làm việc hiện hành; và cuối cùng là thao tác abandon cho phép client chỉ ra các thao tác mà kết quả client không còn quan tâm đến nữa.

Các thao tác của trên LDAP(cont..)Ngoài 9 thao tác cơ bản. LDAP version 3 được thiết kế mở

rộng thông qua 3 thao tác Thao tác mở rộng LDAP(LDAP extended operations) – đây là

một nghi thức thao tác mới. Trong tương lai nếu cần một thao tác mới, thì thao tác này có thể định nghĩa và trở thành chuẩn mà không yêu cầu ta phải xây dựng lại các thành phần cốt lõi của LDAP.

LDAP control - Những phần của thông tin kèm theo cùng với các thao tác LDAP, thay đổi hành vi của thao tác trên cùng một đối tượng.

Các thao tác của trên LDAP(cont..)Xác thực đơn giản và tầng bảo mật (Simple

Authentication and Security Layer SASL) là một mô hình hổ trợ cho nhiều phương thức xác thực. Bằng cách sử dụng mô hình SASL để thực hiện chứng thực. LDAP có thể dễ dàng thích nghi với các phương thức xác thực mới khác, SASL còn hổ trợ một mô hình cho client và server có thể đàm phán trên hệ thống bảo mật diển ra ở các tầng thấp(dẫn đến độ an toàn cao). Mặt dù như vậy nhưng các mô hình này của SASL đều thích nghi với các nghi thức của internet

Các mô hình của LDAPInformation Model: Model cho ta biết thông tin hoặc dữ

liệu được thể hiện như thế nào trong một hệ thống có kích hoạt LDAP.

Naming Model: mô hình này định nghĩa tổ chức và tham khảo đến data như thế nào.

Functional Model: Mô tả các hoạt động có thể thực hiện trên Directory thông qua giao thức LDAP

Security Model: Mô hình này giúp bạn có thể kiểm soát 1 cách tinh tế những người dùng trên dữ liệu. Đây là mô hình phức tạp nhưng có công cụ mạnh mẽ để giúp bạn quản lý vấn đề về bảo mật.

Information ModelInformation ModelMô hình LDAP Information định nghĩa ra các kiểu của dữ

liệu và các thành phần cơ bản của thông tin mà bạn có thể chứa trong thư mục. Hay chúng ta có thể nói rằng LDAP Information mô tả cách xây dựng ra các khối dữ liệu mà chúng ta có thể sử dụng để tạo ra thư mục.

Thành phần cơ bản của thông tin trong một thư mục gọi là entry .Đây là một tập hợp chứa các thông tin về đối tượng (Object).

Thường thì các thông tin trong một entry mô tả một đối tượng thật như là thông tin về người, nhưng đây không phải là qui định bắt buộc với mô hình.

LDAP SCHEMAThiết lập các rule mô tả những loại data gì

được lưu trữGiúp quản lí một cách nhất quán và chất

lượng của dataGiảm sự trùm lắp dataBảo đảm rằng tất cả ứng dụng đều có

interface phù hợp trên dataObject class attibute xác định rõ những

Schema rule mà entry phải làm theo

LDAP Schema (cont…)Schema chứa đựng những thông tin sau:Những thuộc tính yêu cầuNhững thuộc tính được phépSo sánh các thuộc tính đó như thế nàoGiới hạn những thuộc tính gì có thể lưu trữNhững thông tinh gì thì bị cấm lưu trữ,hay

sao lưu

ObjectclassSử dụng để nhóm các thông tin lạiCung cấp những rule sau đây: Thuộc tính yêu cầu Thuộc tính được phép Dễ dàng lấy được nhóm thông tin• Entry có thể có nhiều objectclass,nhưng bắt buộc phải có

objectclass• Theo chuẩn LDAP thì có những loại object class sau: Groups in the directory Locations Organizations in the directory People in the directory.

LDIF

LDIF :viết tắt LDAP Interchange Format được định nghĩa trong RFC 2849

Sử dụng để import dữ liệu mới vào trong directory của bạn xuất hoặc thay đổi dữ liệu đã có

Là một chuẩn định dạng file text lưu trữ những thông tin cấu hình LDAP và nội dung thư mục.

Thông thường một file LDIF sẽ theo khuôn dạng sau: - Mỗi một tập entry khác nhau được phân cách bởi một dòng trắng - Sự sắp đặt của tên thuộc tính là theo giá trị - Một tập các chỉ dẫn cú pháp để làm sao xử lý được thông tin

LDIF (cont…)Dữ liệu trong file LDIF cần phải tuân theo

một luật có trong schema của LDAP directoryMọi thành phần được thêm vào hoặc thay đổi trong

directory của bạn sẽ được check lại trong schema để đảm bảo sự chính xác

Ví dụ entry trong LDIF

LDiF(cont…)Một Entry thư mục trong LDIF:dn: uid=bjensen, dc=airius, dc=com objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson cn: Barbara Jensen cn: Babs Jensen sn: Jensen mail: bjensen@airius.com telephoneNumber: +1 408 555 1212 description: A big sailing fan.

LDiF(cont…)Các thuộc tính cũng phân thành 2 loại: thuộc tính người

dùng, thuộc tính thao tác Thuộc tính người dùng (user attributes) là các thuộc tính

bình thường của một entry thư mục, các thuộc tính này có thể được điều chỉnh bởi user của thư mục(tất nhiên là các thao tác sữa chữa được phép

Thuộc tính thao tác (operational attributes) đây là các thuộc tính đặc biệt và chỉ có thể được điều chỉnh bởi directory server hay là các thuộc tính cho biết trạng thái của thư mục

LDiF(cont…)dn: uid=bjensen, ou=people, dc=example,

dc=com changetype: add objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Barbara Jensen cn: Babs Jensen givenName: Barbara sn: Jensen

Naming ModelNaming ModelMô hình LDAP Naming định nghĩa ra cách để chúng ta

có thể sắp xếp và tham chiếu đến dữ liệu của mình. Hay chúng ta có thể nói rằng mô hình này mô tả cách sắp xếp các entry của chúng vào một cấu trúc có logical, và mô hình LDAP Naming chỉ ra cách để chúng ta có thể tham chiếu đến bất kỳ một entry thư mục nào nằm trong cấu trúc đó.

Mô hình LDAP Naming cho phép chúng ta có thể đặt dữ liệu vào thư mục theo cách mà chúng ta có thể dễ dàng quản lý nhất

Naming Model(cont..) Ví dụ như chúng ta có thể tạo ra một container(khái niệm

vật thể chứa đựng) chứa tất cả các entry mô tả người trong một tổ chức, và một container chứa tất cả các group của bạn, hoặc bạn có thể thiết kế entry theo mô hình phân cấp theo cấu trúc tổ chức của bạn. Việc thiết kế tốt cần phải có những nghiên cứu thoả đáng

Distinguished namesDistinguished names (DNs) trong LDAP đây là tên của

một entry chỉ ra cách bạn có thể tham chiếu đến các entry trên thư mục, hai entry khác nhau trên thư mục hai DNs cũng khác nhau

Giống như đường dẫn của hệ thống tập tin, tên của một entry LDAP được hình thành bằng cách nối tất cả các tên của từng entry cấp trên (cha) cho đến khi trở lên root, như hình dưới ta thấy node có màu đậm sẽ có tên là uid=bjensen, ou=people, dc=airius, dc=com nếu chúng ta đi từ trái sang phải thì chúng ta có thể quay ngược lại đỉnh của cây

Relative Distingguished nameKí hiệu là :RDNThành phần trái nhất được gọi là relative distingguished

name (RDN)RDN là tên phân biệt các entry DN là tên duy nhất cho mỗi entry trên thư mục, do đó các

entry có chùng cha thì RDN cũng phải phân biệtVí dụ hình sau ta thấy

Mặc dù cho có hai entry có cùng RDN cn=Joohn Smith như hai entry ở hai nhánh khác nhau.

Bí Danh(Alias)Những entry bí danh (Aliases entry)trong thư mục LDAP

cho phép một entry chỉ đến một entry kháckhái niệm Aliases entry giống như khái niệm symbolic

links trong UNIX hay shortcuts trên WINDOW Không phải tất cả các LDAP Directory Server đều hổ trợ

Aliases vì:Alias entry có thể chỉ đến bất kì một entry

nào,kể cả LDAP server khácViệc tìm kiếm alias entry trên một cây thư

mục khác nằm trên server LDAP,làm tăng chi phí cho việc tìm kiếm

Bí Danh(Alias)Để tạo ra một alias entry trong thư mục trước tiên bạn phải tạo

ra một entry với tên thuộc tính là aliasedOjecctName với giá trị thuộc tính là DN của entry mà chúng ta muốn alias entry này chỉ đến.

Ví dụ:dn: uid=alias,ou=People,dc=example,dc=net objectclass: alias objectclass: extensibleObject uid: alias aliasedobjectname:uid=target,ou=RetiredPeople,dc=example,dc=com

Functional ModelFunctional ModelĐây là mô hình mô tả các thao tác cho phép chúng ta có thể thao tác

trên thư mụcMô hình LDAP Functional chứa một tập các thao tác

chia thành 3 nhóm Thao tác thẩm tra (interrogation) cho phép bạn có thể search trên thư

mục và nhận dữ liệu từ thư mục. Thao tác cập nhật (update): add, delete, rename và thay đổi các entry

thư mục Thao tác xác thực và điều kiển(authentiaction and control) cho phép

client xác định mình đến cho thư mục và điều kiển các hoạt động của phiên kết nối

LDAP version ngoài 3 nhóm thao tác trên, còn có thao tác LDAP extended thao tác này cho phép nghi thức LDAP sau này có thể mở rộng một cách có tổ chức và không làm thay đổi đến nghi thức

Các thao tác thẩm tra-Interrogation

Hai thao tác thẩm tra cho phép client có thể tìm và nhận lại thông tin từ thư mục. Nhưng LDAP không có thao tác đọc một entry thư mục,do đó khi đó chúng ta muốn đọc một entry thì ta phải thực hiện tìm kiếm và dừng tìm kiếm ngay khi nhận được kết quả đầu tiên. Thao tác tìm kiếm (LDAP search operation) yêu cầu 8 tham số:

Tham số đầu tiên :là đối tượng cơ sở mà các thao tác tìm kiếm thực hiện trên đây tham số này là DN chỉ đến đỉnh của cây mà chúng ta muốn tìm.

Các thao tác thẩm tra-Interrogation

(cont…)Tham số thứ hai :là phạm vi cho việc tìm

kiếm, chúng ta có 3 phạm vi thực hiện tìm kiếm:

Phạm vi “base” chỉ ra rằng bạn muốn tìm ngay tại đối tượng cơ sở

Phạm vi “onelevel” thao tác tìm kiếm diễn ra tại cấp dưới (con trực tiếp của đối tượng cơ sở)

Phạm vi “subtree” thao tác này thực hiện tìm hết trên cây mà đối tượng cơ sở là đỉnh.

Hình minh họa cho từng phạm vi

Các thao tác thẩm tra-Interrogation(cont…)

Tham số thứ ba :derefAliases cho server biết rằng liệu bí danh aliases có bị bỏ qua hay không tham khảo đến khi thực hiện tìm kiếm, có 4 giá trị mà derefAliases có thể nhận được:

nerverDerefAliases - nghĩa là thực hiện tìm kiếm và không bỏ qua bí danh (aliases) trong lúc thực hiện tìm kiếm và áp dụng với cả đối tượng cơ sở

derefInsearching - bỏ qua các aliases trong trong các entry cấp dưới của đối tượng cơ sở, và không quan tâm đến thuộc tính của đối tượng cơ sở..

derefFindingBaseObject - ngược lại với giá trị thuộc tính trên với giá trị này thì việc tìm kiếm sẽ bỏ qua các aliases của đối tượng cơ sở, và không quan tâm đến thuộc tính của các entry thấp hơn đối tượng cơ sở

derfAlways - bỏ qua cả hai nếu việc tìm kiếm thấy đối tượng cơ sở hay là các entry cấp thấp là các entry aliases.

Các thao tác thẩm tra-Interrogation(cont…)

Tham số thứ bốn :cho server biết có tối đa bao nhiêu entry kết quả được trả về

Ví dụ 1:Nếu tham số này 100,nếu server tìm thấy 200,chỉ trả về client 100 entry

Ví dụ 2:Nếu tham số này 0,thì server trả về toàn bộ kết quả

Tham số thứ năm: qui định thời gian tối đa cho việc thực hiện tìm kiếm

Các thao tác thẩm tra-Interrogation(cont…)

Tham số thứ sáu: attrOnly – là một tham số kiểu bool

Nếu attrOnly=true ,thì server sẽ trả về các thuộc tính của entry

Nếu attrOnly=false ,thì server sẽ trả về các thuộc tính và giá trị của entry

Tham số thứ bảy: là bộ lọc tìm kiếm(search filter) đây là một biểu thức mô tả các loại entry sẽ được giữ lại

Tham số thứ tám :và đây là tham số cuối cùng đây là một danh sách các thuộc tínhđược giữ lại với mỗi entry. Bạn có thể chỉ định các thuộc tính được giữ lại.

Các thao tác thẩm tra-Interrogation(cont…)

Trong hình trên chỉ có LDAP version 3 hổ trợ cho bộ lọc này: đây là một bộ lọc thiết kế cho các thao tác tìm kiếm phát triển trong tương lai. Bộ lọc này mang tính dễ dàng mở rộng của LDAP khi các thao tác tìm kiếm phát triển

Cú pháp của bộ lọc mở rộng này khá phức tạp, gồm có 5 phần và 3 trong đó là các tuỳ chọn

Cú pháp ldapsearch

Thao tác cập nhật Có 4 thao tác cập

nhật:add,delete,rename,modify:Add :Thao tác add tạo ra một entry mới với tên DN và danh

sách các thuộc tính truyền vào, khi thực hiện add một entry mới vào thư mục phải thoả các điều kiện sau :

Entry là nút cha của entry mới phải tồn tạiChưa tồn tại một entry nào có cùng tên DN với entry mới trên

thư mục • Delete :Thao tác xoá (delete) chỉ cần truyền vào tên của

entry cần xoá và thao tác thực hiện được nếu như: Entry tồn tại với tên là DN truyền vào. Entry bị xoá không có các entry con.

Thao tác cập nhật (cont..)Rename:Thao tác rename hay modify DN sử dụng để

đổi tên hay dùng để di chuyển các entry trong thư mục, các tham số cần truyền vào là DN của entry cần đổi tên, RDN mới của entry và một số tham số tuỳ chọn dành cho các entry là cha mới của entry di chuyển đến, và cuối cùng là một cờ cho phép xoá hay không xóa với RDN cũ. Cũng như trên thao tác thực hiện được nếu như thoả :

Các entry bị đổi tên phải tồn tại. Tên mới của entry phải chưa tồn tại.

Thao tác cập nhật (cont..)Update :Thao tác cuối cùng là thao tác cập nhật với

tham số DN và tập hợp các thay đổi được áp dụng lên đây. Và thao tác này đòi hỏi :

Entry với DN truyền vào phải tồn tại. Tất cả các thuộc tính thay đổi đều thực hiện thành công. Các thao tác cập nhật phải là các thao tác được phép.

Nếu một điều kiện nào ở trên không thoả thì cách cập nhận sẽ không được áp dụng trên entry.

Một số hinh ảnh về minh họa

Cú pháp của một số thao tác

Cú pháp của một số thao tác

LDAP authentication and control Operations

Thao tác xác thực gồm: thao tác bind và unbind. Thao tác điều kiển :thao tác abandonBind :Thao tác bind là cách client xác thực với

serverUnbind :Thao tác unbind, khi client phát ra thông báo này thì

server sẽ huỹ bỏ các thông tin liên quan đến khách hàng huỷ bỏ tất cả các thao tác đang thi hành trên thư mục và đóng kết nối TCP.

Abandon :Thao tác abandon có một tham số duy nhất đó là ID của thông điệp, client thực hiện thao tác này khi không quan tâm đến kết quả của thao tác bất kỳ trước đó.

LDAP Security LDAP Security Vấn đề cuối cùng trong các mô hình LDAP là việc bảo vệ

thông tin trong thư mục khỏi các truy cập không được phép.

Khi thực hiện thao tác bind dưới một tên DN hay có thể client một người vô danh thì với mỗi user có một số quyền thao tác trên entry thư mục. Và những quyền nào được entry chấp nhận tất cả những điều trên gọi là truy cập điều kiển (access control).

Hiện nay LDAP chưa định nghĩa ra một mô hình Access Control, các điều kiển truy cập này được thiết lập bởi các nhà quản trị hệ thống bằng các server software.

Directory SecurityNo authentication Basic authentication SASL:chỉ có trong LDAP version3 và được

định nghĩa trong RFC222 SSL and TLS

Configure the LDAP SERVER

Một số ứng dụng LDAP

Dùng LDAP xác thực một user đăng nhập vào một hệ thống qua chương trình thẩm tra, chương trình thực hiện như sau đầu tiên chương trình thẩm tra tạo ra một đại diện để xác thực với LDAP thông qua (1) sau đó so sánh mật khẩu của user A với thông tin chứa trong thư mục. Nếu so sánh thành công thì user A đã xác thực thành công

Tài liệu tham khảo