ldap it-slideshares.blogspot.com
DESCRIPTION
Ldap more from http://it-slideshares.blogspot.com and japanese-zen-garden.blogspot.comTRANSCRIPT
GVHD:TS.PHẠM VĂN TÍNH
Đỗ Hoàng TuyênPhạm Phanh PhươngNguyễn Trung Tín
Nội Dung
Tại Sao lại sử dụng LDAPLDAP là gì?Cấu trúc LDAPNhững mô hình trong LDAPMột vài mô hình ứng dụng
Tại sao sử dụng LDAPHiện nay, để xây dựng các hệ thống lớn, điều tối quan trọng là
phải làm cách nào để có thể tích hợp dữ liệu để từ đó có thể dùng chung giữa các hệ thống khác nhau. Trong đó, tích hợp tài khoản của người sử dụng là vấn đề cần thiết nhất trong những cái "tối quan trọng" trên.
Hãy tưởng tượng một hệ thống với khoảng 5 - 6 mô đun khác nhau, mỗi mô đun lại được thiết kế trên một nền tảng khác nhau ( Oracle + AS Portal, có người thì xài DB2 với WebSphere, lão khác thì MySQL , ông thì xài Wíndow, lão thì cài Linux, Unix), do đó cần có một hệ thống người dùng khác nhau. Vậy thì với mỗi mô đun, người sử dụng cần phải có một User Name, một mật khẩu khác nhau, đó là điều không thể chấp nhận được. Người dùng chẳng mấy chốc mà chán ghét hệ thống.
Làm cách nào để có thể tích hợp được người dùng giữa các hệ thống trên?
Câu trả lời đó là LDAP.=>Như Vậy LDAP là gì?
Network Information SystemNIS:là hệ thống thông tin mạngNIS là giao thức tương tự như LDAP nhưng còn
khá nhiều hạn chếĐược phát triển bởi Sun MicroSystem ,ban đầu
được Sun đặt tên là Yellow Page nhưng lại đụng độ với tên của một số công ty điện thoại,nên đổi tên lại
Được tích hợp trong hệ thống Unix trước đây• Với một nhóm 50 trạm làm việc, khi người điều hành hệ thống
thêm vào một người sử dụng mới thì người sử dụng đó phải được thêm vào 50 file password, 50 file thư tín…
Network information systemNIS ra đời giải quyết phần lớn các vấn đề này bằng cách
đặt hầu hết các thông tin quản lý vào một nơi do NIS kiểm soát và mọi trạm làm việc đều tham chiếu đến các file NFS thay vì đến các file riêng của họ.
Khi có một người sử dụng mới, người điều hành chỉ phải thêm người sử dụng đó vào cơ sở dữ liệu NFS được dùng chung, do đó tức thời làm cho người mới vào có thể làm việc với tất cả các trạm làm việc.
Network information systemTuy nhiên, thỉnh thoảng nó cũng bị mất đồng bộ (sau khi người
quản trị cập nhật các file chính, cần phải thực hiện một số lệnh để làm phát sinh lại cơ sở dữ liệu NIS và dễ mắc sai lầm).
Khi NIS không đồng bộ, nó có thể gây ra những kết quả rất kỳ dị.
Thiết kế của NIS cũng làm cho nó có thể tạo ra một số lỗ hổng gây bối rối về tính an toàn –
Một sự khó chịu nhỏ nếu các máy tính chỉ chịu sự truy cập của một số ít người sử dụng đáng tin cậy nhưng lại là một thảm họa tiềm tàng nếu bất kỳ ai trong số hàng triệu người sử dụng trên Internet có thể lọt vào
LDAP là gìLDAP - viết tắt của Lightweight Directory Access
Protocol, hay dịch ra tiếng Việt có nghĩa là giao thức truy cập nhanh các dịch vụ thư mục
Nó là giao thức dạng Client/Server dùng để truy cập dịch vụ thư mục.
LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác
Nguồn gốc của LDAPBản chất của LDAP là một phần của dịch vụ thư mục
X.500(DAP). LDAP thực chất được thiết kế như một giao thức nhẹ nhàng.
X500 được biết như là một heavyweight. Nó yêu cầu client và server liên lạc với nhau sử dụng theo mô hình OSI . Mô hình 7 tầng của OSI là một mô hình chuẩn phù hợp trong thiết kế với giao thức mạng, nhưng khi so sánh với chuẩn TCP/IP thì nó trở nên không còn hợp lý.
LDAP được so sánh với lightweight vì nó sử dụng gói tin overhead thấp, nó được xác định chính xác trên lớp TCP ( mặc định là cồng 389) của danh sách các giao thức TCP/IP. Bởi vì X.500 là một lớp giao thức ứng dụng, nó chứa nhiều thứ hơn ví dụ như các network header được bao quanh các gói tin ở mỗi layer trước khi nó được chuyển đi trong mạng.
LDAP được coi là lightweight bởi vì nó đã lược bỏ rất nhiều những phương thức ít được dùng của X.500
Cung cấp một mô hình đơn giản cho người lập trình và quản trị hệ thống
Cấu trúc LDAP-Khái niệm DirectoryMột thư mục là list thông tin về các đối
tượng,được sắp xếp một cách chi tiết về mỗi đối tượng
Trong Computer thì thư mục là một database đặc biệt,lư u trữ thông tin về các đối tượng
Thư mục cho phép user và ứng dụng có thể tìm kiếm tài nguyên để phục vụ cho các task
Mặc dù thư mục xem như database nhưng thư mục thì thường chứa thông tin tĩnh ,ít thay đổi khác với DB
Thư mục thường được đọc nhiều hơn là update,written
Cấu trúc LDAP- Directory Service Directory Service :là một loại service có thể nằm trên
client hoặc serverKhái niệm Directory services thì không có gì
mới,nếu chúng ta đã từng làm quen với dịch vụ DNS (phân giải tên miền).Tuy nhiên, một số người thường nhầm lẫn Directory services giống như một database
Cấu trúc LDAP-Directory Service :(cont…)
Directory services và Database cùng có chung các chức năng giống nhau như hổ trợ tìm kiếm dữ liệu nhanh chóng và chứa các file cấu hình hệ thống extendable schema. nhưng chúng khác nhau ở chổ một Directory services được thiết kế để lấy dữ liệu nhiều hơn là ghi không giống như một Database cung cấp khả năng đọc và ghi dữ liệu với tần số liên tục.
Một ví dụ phổ biến của service là :file services,
mail services, print services, Web page services….
Cấu trúc LDAP(cont…)LDAP (Lightweight Directory Access Protocol) là một chuẩn
mở rộng cho nghi thức truy cập thư mục, hay là một ngôn ngữ để LDAP client và severs sử dụng để giao tiếp với nhau
LDAP là một giao thức hướng thông điệpNó là giao thức dạng Client/ServerLDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác.Là một mô hình thông tin cho phép xác định cấu trúc và đặc
điểm của thông tin trong thư mục.Là một giao thức mở rộng ,được định nghĩa nhiều
phương thức mở rộng cho việc truy cập và update thông tin trong thư mục
LDAP một nghi thức thuộc tầng ứng dụng
Cấu trúc LDAP(cont…)LDAP tổ chức data theo thư mục phân cấp:
Cấu trúc LDAP(cont…)Thành phần cơ bản của LDAP directory là
entry, chứa toàn bộ thông tin của một đối tượng
Mỗi Entry có một tên đặc trưng kí hiệu là (DN: distinguished name )
Một entry là tập hợp của các thuộc tính, từng thuộc tính này mô tả một nét đặt trưng tiêu biểu của một đối tượng. Mỗi thuộc tính có kiểu một hay nhiều giá trị, kiểu của thuộc tính mô tả loại thông tin được chứa, giá trị là dữ liệu thực sự
Ví dụ: một entry mô tả một người với các thuộc tính: tên họ, tên, số điện thoại, và địa chỉ email.
Mô hinh của một Entry
Cấu trúc của entry trong Directory
Cấu trúc LDAP(cont..)Dịch vụ thư mục LDAP được dựa trên một mô hình
client-server
Cấu trúc LDAP(cont..)LDAP là một giao thức hướng thông điệp: Do client và sever giao tiếp thông qua các thông
điệp,Client tạo một thông điệp (LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận được thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP
Ví dụ:khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong một thông điệp LDA
Cấu trúc LDAP(cont...)Do nghi thức LDAP là nghi thức thông điệp nên, client
được phép phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng để phân biệt các yêu cầu của client và kết quả trả về của server.
Cấu trúc LDAP(cont...)Việc cho phép nhiều thông điệp cùng sử lý đồng thời làm
cho LDAP linh động hơn các nghi thức khác ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả
lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file
LDAP thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối.
Các thao tác của trên LDAPLDAP có 9 thao tác cơ bản, chia thành 3 nhóm thao tác chính: Thao tác thẩm tra (interrogation) : search, compare Hai thao tác này
cho phép chúng ta thực hiện thẩm tra trên thư mục Thao tác cập nhật (update): add, delete, modify, modify DN ( rename
). Những thao tác này cho phép chúng ta thực hiện cập nhật thông tin trên thư mục.
Thao tác xác thực và điều kiển(authentiaction and control) : bind, unbind, abandon. Thao tác bind cho phép client tự xác định được mình với thư mục, thao tác này cung cấp sự xác nhận và xác thực chứng thư; unbind cho phép client huỷ bỏ phân đoạn làm việc hiện hành; và cuối cùng là thao tác abandon cho phép client chỉ ra các thao tác mà kết quả client không còn quan tâm đến nữa.
Các thao tác của trên LDAP(cont..)Ngoài 9 thao tác cơ bản. LDAP version 3 được thiết kế mở
rộng thông qua 3 thao tác Thao tác mở rộng LDAP(LDAP extended operations) – đây là
một nghi thức thao tác mới. Trong tương lai nếu cần một thao tác mới, thì thao tác này có thể định nghĩa và trở thành chuẩn mà không yêu cầu ta phải xây dựng lại các thành phần cốt lõi của LDAP.
LDAP control - Những phần của thông tin kèm theo cùng với các thao tác LDAP, thay đổi hành vi của thao tác trên cùng một đối tượng.
Các thao tác của trên LDAP(cont..)Xác thực đơn giản và tầng bảo mật (Simple
Authentication and Security Layer SASL) là một mô hình hổ trợ cho nhiều phương thức xác thực. Bằng cách sử dụng mô hình SASL để thực hiện chứng thực. LDAP có thể dễ dàng thích nghi với các phương thức xác thực mới khác, SASL còn hổ trợ một mô hình cho client và server có thể đàm phán trên hệ thống bảo mật diển ra ở các tầng thấp(dẫn đến độ an toàn cao). Mặt dù như vậy nhưng các mô hình này của SASL đều thích nghi với các nghi thức của internet
Các mô hình của LDAPInformation Model: Model cho ta biết thông tin hoặc dữ
liệu được thể hiện như thế nào trong một hệ thống có kích hoạt LDAP.
Naming Model: mô hình này định nghĩa tổ chức và tham khảo đến data như thế nào.
Functional Model: Mô tả các hoạt động có thể thực hiện trên Directory thông qua giao thức LDAP
Security Model: Mô hình này giúp bạn có thể kiểm soát 1 cách tinh tế những người dùng trên dữ liệu. Đây là mô hình phức tạp nhưng có công cụ mạnh mẽ để giúp bạn quản lý vấn đề về bảo mật.
Information ModelInformation ModelMô hình LDAP Information định nghĩa ra các kiểu của dữ
liệu và các thành phần cơ bản của thông tin mà bạn có thể chứa trong thư mục. Hay chúng ta có thể nói rằng LDAP Information mô tả cách xây dựng ra các khối dữ liệu mà chúng ta có thể sử dụng để tạo ra thư mục.
Thành phần cơ bản của thông tin trong một thư mục gọi là entry .Đây là một tập hợp chứa các thông tin về đối tượng (Object).
Thường thì các thông tin trong một entry mô tả một đối tượng thật như là thông tin về người, nhưng đây không phải là qui định bắt buộc với mô hình.
LDAP SCHEMAThiết lập các rule mô tả những loại data gì
được lưu trữGiúp quản lí một cách nhất quán và chất
lượng của dataGiảm sự trùm lắp dataBảo đảm rằng tất cả ứng dụng đều có
interface phù hợp trên dataObject class attibute xác định rõ những
Schema rule mà entry phải làm theo
LDAP Schema (cont…)Schema chứa đựng những thông tin sau:Những thuộc tính yêu cầuNhững thuộc tính được phépSo sánh các thuộc tính đó như thế nàoGiới hạn những thuộc tính gì có thể lưu trữNhững thông tinh gì thì bị cấm lưu trữ,hay
sao lưu
ObjectclassSử dụng để nhóm các thông tin lạiCung cấp những rule sau đây: Thuộc tính yêu cầu Thuộc tính được phép Dễ dàng lấy được nhóm thông tin• Entry có thể có nhiều objectclass,nhưng bắt buộc phải có
objectclass• Theo chuẩn LDAP thì có những loại object class sau: Groups in the directory Locations Organizations in the directory People in the directory.
LDIF
LDIF :viết tắt LDAP Interchange Format được định nghĩa trong RFC 2849
Sử dụng để import dữ liệu mới vào trong directory của bạn xuất hoặc thay đổi dữ liệu đã có
Là một chuẩn định dạng file text lưu trữ những thông tin cấu hình LDAP và nội dung thư mục.
Thông thường một file LDIF sẽ theo khuôn dạng sau: - Mỗi một tập entry khác nhau được phân cách bởi một dòng trắng - Sự sắp đặt của tên thuộc tính là theo giá trị - Một tập các chỉ dẫn cú pháp để làm sao xử lý được thông tin
LDIF (cont…)Dữ liệu trong file LDIF cần phải tuân theo
một luật có trong schema của LDAP directoryMọi thành phần được thêm vào hoặc thay đổi trong
directory của bạn sẽ được check lại trong schema để đảm bảo sự chính xác
Ví dụ entry trong LDIF
LDiF(cont…)Một Entry thư mục trong LDIF:dn: uid=bjensen, dc=airius, dc=com objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson cn: Barbara Jensen cn: Babs Jensen sn: Jensen mail: [email protected] telephoneNumber: +1 408 555 1212 description: A big sailing fan.
LDiF(cont…)Các thuộc tính cũng phân thành 2 loại: thuộc tính người
dùng, thuộc tính thao tác Thuộc tính người dùng (user attributes) là các thuộc tính
bình thường của một entry thư mục, các thuộc tính này có thể được điều chỉnh bởi user của thư mục(tất nhiên là các thao tác sữa chữa được phép
Thuộc tính thao tác (operational attributes) đây là các thuộc tính đặc biệt và chỉ có thể được điều chỉnh bởi directory server hay là các thuộc tính cho biết trạng thái của thư mục
LDiF(cont…)dn: uid=bjensen, ou=people, dc=example,
dc=com changetype: add objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Barbara Jensen cn: Babs Jensen givenName: Barbara sn: Jensen
Naming ModelNaming ModelMô hình LDAP Naming định nghĩa ra cách để chúng ta
có thể sắp xếp và tham chiếu đến dữ liệu của mình. Hay chúng ta có thể nói rằng mô hình này mô tả cách sắp xếp các entry của chúng vào một cấu trúc có logical, và mô hình LDAP Naming chỉ ra cách để chúng ta có thể tham chiếu đến bất kỳ một entry thư mục nào nằm trong cấu trúc đó.
Mô hình LDAP Naming cho phép chúng ta có thể đặt dữ liệu vào thư mục theo cách mà chúng ta có thể dễ dàng quản lý nhất
Naming Model(cont..) Ví dụ như chúng ta có thể tạo ra một container(khái niệm
vật thể chứa đựng) chứa tất cả các entry mô tả người trong một tổ chức, và một container chứa tất cả các group của bạn, hoặc bạn có thể thiết kế entry theo mô hình phân cấp theo cấu trúc tổ chức của bạn. Việc thiết kế tốt cần phải có những nghiên cứu thoả đáng
Distinguished namesDistinguished names (DNs) trong LDAP đây là tên của
một entry chỉ ra cách bạn có thể tham chiếu đến các entry trên thư mục, hai entry khác nhau trên thư mục hai DNs cũng khác nhau
Giống như đường dẫn của hệ thống tập tin, tên của một entry LDAP được hình thành bằng cách nối tất cả các tên của từng entry cấp trên (cha) cho đến khi trở lên root, như hình dưới ta thấy node có màu đậm sẽ có tên là uid=bjensen, ou=people, dc=airius, dc=com nếu chúng ta đi từ trái sang phải thì chúng ta có thể quay ngược lại đỉnh của cây
Relative Distingguished nameKí hiệu là :RDNThành phần trái nhất được gọi là relative distingguished
name (RDN)RDN là tên phân biệt các entry DN là tên duy nhất cho mỗi entry trên thư mục, do đó các
entry có chùng cha thì RDN cũng phải phân biệtVí dụ hình sau ta thấy
Mặc dù cho có hai entry có cùng RDN cn=Joohn Smith như hai entry ở hai nhánh khác nhau.
Bí Danh(Alias)Những entry bí danh (Aliases entry)trong thư mục LDAP
cho phép một entry chỉ đến một entry kháckhái niệm Aliases entry giống như khái niệm symbolic
links trong UNIX hay shortcuts trên WINDOW Không phải tất cả các LDAP Directory Server đều hổ trợ
Aliases vì:Alias entry có thể chỉ đến bất kì một entry
nào,kể cả LDAP server khácViệc tìm kiếm alias entry trên một cây thư
mục khác nằm trên server LDAP,làm tăng chi phí cho việc tìm kiếm
Bí Danh(Alias)Để tạo ra một alias entry trong thư mục trước tiên bạn phải tạo
ra một entry với tên thuộc tính là aliasedOjecctName với giá trị thuộc tính là DN của entry mà chúng ta muốn alias entry này chỉ đến.
Ví dụ:dn: uid=alias,ou=People,dc=example,dc=net objectclass: alias objectclass: extensibleObject uid: alias aliasedobjectname:uid=target,ou=RetiredPeople,dc=example,dc=com
Functional ModelFunctional ModelĐây là mô hình mô tả các thao tác cho phép chúng ta có thể thao tác
trên thư mụcMô hình LDAP Functional chứa một tập các thao tác
chia thành 3 nhóm Thao tác thẩm tra (interrogation) cho phép bạn có thể search trên thư
mục và nhận dữ liệu từ thư mục. Thao tác cập nhật (update): add, delete, rename và thay đổi các entry
thư mục Thao tác xác thực và điều kiển(authentiaction and control) cho phép
client xác định mình đến cho thư mục và điều kiển các hoạt động của phiên kết nối
LDAP version ngoài 3 nhóm thao tác trên, còn có thao tác LDAP extended thao tác này cho phép nghi thức LDAP sau này có thể mở rộng một cách có tổ chức và không làm thay đổi đến nghi thức
Các thao tác thẩm tra-Interrogation
Hai thao tác thẩm tra cho phép client có thể tìm và nhận lại thông tin từ thư mục. Nhưng LDAP không có thao tác đọc một entry thư mục,do đó khi đó chúng ta muốn đọc một entry thì ta phải thực hiện tìm kiếm và dừng tìm kiếm ngay khi nhận được kết quả đầu tiên. Thao tác tìm kiếm (LDAP search operation) yêu cầu 8 tham số:
Tham số đầu tiên :là đối tượng cơ sở mà các thao tác tìm kiếm thực hiện trên đây tham số này là DN chỉ đến đỉnh của cây mà chúng ta muốn tìm.
Các thao tác thẩm tra-Interrogation
(cont…)Tham số thứ hai :là phạm vi cho việc tìm
kiếm, chúng ta có 3 phạm vi thực hiện tìm kiếm:
Phạm vi “base” chỉ ra rằng bạn muốn tìm ngay tại đối tượng cơ sở
Phạm vi “onelevel” thao tác tìm kiếm diễn ra tại cấp dưới (con trực tiếp của đối tượng cơ sở)
Phạm vi “subtree” thao tác này thực hiện tìm hết trên cây mà đối tượng cơ sở là đỉnh.
Hình minh họa cho từng phạm vi
Các thao tác thẩm tra-Interrogation(cont…)
Tham số thứ ba :derefAliases cho server biết rằng liệu bí danh aliases có bị bỏ qua hay không tham khảo đến khi thực hiện tìm kiếm, có 4 giá trị mà derefAliases có thể nhận được:
nerverDerefAliases - nghĩa là thực hiện tìm kiếm và không bỏ qua bí danh (aliases) trong lúc thực hiện tìm kiếm và áp dụng với cả đối tượng cơ sở
derefInsearching - bỏ qua các aliases trong trong các entry cấp dưới của đối tượng cơ sở, và không quan tâm đến thuộc tính của đối tượng cơ sở..
derefFindingBaseObject - ngược lại với giá trị thuộc tính trên với giá trị này thì việc tìm kiếm sẽ bỏ qua các aliases của đối tượng cơ sở, và không quan tâm đến thuộc tính của các entry thấp hơn đối tượng cơ sở
derfAlways - bỏ qua cả hai nếu việc tìm kiếm thấy đối tượng cơ sở hay là các entry cấp thấp là các entry aliases.
Các thao tác thẩm tra-Interrogation(cont…)
Tham số thứ bốn :cho server biết có tối đa bao nhiêu entry kết quả được trả về
Ví dụ 1:Nếu tham số này 100,nếu server tìm thấy 200,chỉ trả về client 100 entry
Ví dụ 2:Nếu tham số này 0,thì server trả về toàn bộ kết quả
Tham số thứ năm: qui định thời gian tối đa cho việc thực hiện tìm kiếm
Các thao tác thẩm tra-Interrogation(cont…)
Tham số thứ sáu: attrOnly – là một tham số kiểu bool
Nếu attrOnly=true ,thì server sẽ trả về các thuộc tính của entry
Nếu attrOnly=false ,thì server sẽ trả về các thuộc tính và giá trị của entry
Tham số thứ bảy: là bộ lọc tìm kiếm(search filter) đây là một biểu thức mô tả các loại entry sẽ được giữ lại
Tham số thứ tám :và đây là tham số cuối cùng đây là một danh sách các thuộc tínhđược giữ lại với mỗi entry. Bạn có thể chỉ định các thuộc tính được giữ lại.
Các thao tác thẩm tra-Interrogation(cont…)
Trong hình trên chỉ có LDAP version 3 hổ trợ cho bộ lọc này: đây là một bộ lọc thiết kế cho các thao tác tìm kiếm phát triển trong tương lai. Bộ lọc này mang tính dễ dàng mở rộng của LDAP khi các thao tác tìm kiếm phát triển
Cú pháp của bộ lọc mở rộng này khá phức tạp, gồm có 5 phần và 3 trong đó là các tuỳ chọn
Cú pháp ldapsearch
Thao tác cập nhật Có 4 thao tác cập
nhật:add,delete,rename,modify:Add :Thao tác add tạo ra một entry mới với tên DN và danh
sách các thuộc tính truyền vào, khi thực hiện add một entry mới vào thư mục phải thoả các điều kiện sau :
Entry là nút cha của entry mới phải tồn tạiChưa tồn tại một entry nào có cùng tên DN với entry mới trên
thư mục • Delete :Thao tác xoá (delete) chỉ cần truyền vào tên của
entry cần xoá và thao tác thực hiện được nếu như: Entry tồn tại với tên là DN truyền vào. Entry bị xoá không có các entry con.
Thao tác cập nhật (cont..)Rename:Thao tác rename hay modify DN sử dụng để
đổi tên hay dùng để di chuyển các entry trong thư mục, các tham số cần truyền vào là DN của entry cần đổi tên, RDN mới của entry và một số tham số tuỳ chọn dành cho các entry là cha mới của entry di chuyển đến, và cuối cùng là một cờ cho phép xoá hay không xóa với RDN cũ. Cũng như trên thao tác thực hiện được nếu như thoả :
Các entry bị đổi tên phải tồn tại. Tên mới của entry phải chưa tồn tại.
Thao tác cập nhật (cont..)Update :Thao tác cuối cùng là thao tác cập nhật với
tham số DN và tập hợp các thay đổi được áp dụng lên đây. Và thao tác này đòi hỏi :
Entry với DN truyền vào phải tồn tại. Tất cả các thuộc tính thay đổi đều thực hiện thành công. Các thao tác cập nhật phải là các thao tác được phép.
Nếu một điều kiện nào ở trên không thoả thì cách cập nhận sẽ không được áp dụng trên entry.
Một số hinh ảnh về minh họa
Cú pháp của một số thao tác
Cú pháp của một số thao tác
LDAP authentication and control Operations
Thao tác xác thực gồm: thao tác bind và unbind. Thao tác điều kiển :thao tác abandonBind :Thao tác bind là cách client xác thực với
serverUnbind :Thao tác unbind, khi client phát ra thông báo này thì
server sẽ huỹ bỏ các thông tin liên quan đến khách hàng huỷ bỏ tất cả các thao tác đang thi hành trên thư mục và đóng kết nối TCP.
Abandon :Thao tác abandon có một tham số duy nhất đó là ID của thông điệp, client thực hiện thao tác này khi không quan tâm đến kết quả của thao tác bất kỳ trước đó.
LDAP Security LDAP Security Vấn đề cuối cùng trong các mô hình LDAP là việc bảo vệ
thông tin trong thư mục khỏi các truy cập không được phép.
Khi thực hiện thao tác bind dưới một tên DN hay có thể client một người vô danh thì với mỗi user có một số quyền thao tác trên entry thư mục. Và những quyền nào được entry chấp nhận tất cả những điều trên gọi là truy cập điều kiển (access control).
Hiện nay LDAP chưa định nghĩa ra một mô hình Access Control, các điều kiển truy cập này được thiết lập bởi các nhà quản trị hệ thống bằng các server software.
Directory SecurityNo authentication Basic authentication SASL:chỉ có trong LDAP version3 và được
định nghĩa trong RFC222 SSL and TLS
Configure the LDAP SERVER
Một số ứng dụng LDAP
Dùng LDAP xác thực một user đăng nhập vào một hệ thống qua chương trình thẩm tra, chương trình thực hiện như sau đầu tiên chương trình thẩm tra tạo ra một đại diện để xác thực với LDAP thông qua (1) sau đó so sánh mật khẩu của user A với thông tin chứa trong thư mục. Nếu so sánh thành công thì user A đã xác thực thành công
Tài liệu tham khảo