LDAP轻型目录访问协议介绍及应用

LDAP不难，难的是资料太少，尤其是原理和应用方面的，以安装介绍居多。这也是我写这篇博客的原因。

LDAP（英文：Lightweight Directory Access Protocol，缩写：LDAP，/ˈɛldæp/）即轻型目录访问协议。LDAP由互联网工程任务组（IETF）的文档RFC定义，使用了描述语言ASN.1定义，前生是DAP，但是DAP过于复杂。据说LDAP的出现是源于互联网庞大的邮箱地址目录。

LDAP最大的好处就是他是一个协议，一个为多数软件用来作为登录鉴权的标准。在你为各个系统诸多用户名和密码而烦恼的时候，正是LDAP登场的时候。支持LDAP的软件都有哪些呢？
支持LDAP认证的软件产品（包括但不限于）：zabbix、grafana、jenkins、nginx、apache等。

典型的系统访问如下:

LDAP既然是协议，自然要定义一堆的概念。概括的讲LDAP 是一个条目树。条目是有一或者多个 objectClass 组成，objectClass是由一或者多个属性（Attributes）组成，属性即key-value键值对组成。形成一个树形结构。其中每个属性和objectClass名称都是唯一的。说了这么多，不如一张图来的直观。

概念解释：
Schemas：一组objectClass，前人提供了很多Schemas适用于不同业务场景适用。
objectClass:属性集合。
Attributes：属性。
常见属性如下：
DN:唯一名称标识，各级DN组成当前目录的唯一ID。
CN：名称属性。
OU：组织。
LDAP中的属性都是按照描述语言ASN.1定义，以上是开放环境认可的属性（未一一列出）。引入LDAP的数据导入导出文件.ldif文件表示如下：

dn: cn=Robert Smith,ou=people,dc=example,dc=com
objectclass: inetOrgPerson
cn: Robert Smith
cn: Robert
sn: Smith
uid: rsmith
mail: robert@example.com
mail: r.smith@example.com
ou: sales

目录树如图：

以上是LDAP的概念介绍，下面讲LDAP协议的具体实现。主要有windows下的Microsoft出品Active Directory（不在介绍范围），还有一个就是linux环境下的OpenLDAP。LDAP被设计成解决读多写少的目录型数据访问权限控制,如果地址簿，组织关系等。OpenLDAP同样也提供了主从复制的高可用方案。数据也可以分布式存储在不同的LDAP节点，通过配置关联，完成跨节点的查询。
很多人喜欢拿LDAP和数据库类比，或者说LDAP是另外一种数据库。LDAP的协议规定了数据的导入导出格式即LDIF文件，但是对于数据存储却无限制。通常LDAP的数据存储会用到其他关系数据库，如OpenLDAP就可以用Berkeley DB存储数据。OpenLDAP是提供了管理目录数据的服务的软件产品，多数场景用来做统一登录认证。
OpenLDAP支持各种对目录数据访问的控制，即access规则：

access to <what> [ by <who> [<accesslevel>] [<control>] ]+

还有一种on line写法

olcAccess: to <what> [ by <who> [<accesslevel>] [<control>] ]+

olcAccess是on line configuration,能提供在线修改配置而不需要重启LDAP服务（不在本文介绍）。

示例：

access to  *
       by  self write
       by  anonymous auth
       by  * read

含义：针对整个目录树（*），目录用户本身有写的权限，匿名用户可以用来登录认证，所有人可读（如果开放匿名用户的话）。权限设置不正确会直接导致登录认证功能失败。OpenLDAP提供了非常丰富的access控制，详见：http://www.zytrax.com/books/ldap/ch6/#access

LDAP定义了几种数据的操作方法：
bind, add, modify, delete，search。一般需要先进行bind即认证操作，认证通过后进行其他如add或search操作。LDAP官网有详细的request和response定义。

LDAP有自己的查询语法定义，各种filter。

如下示例一种java语言的spring提供的LdapTemplate提供的认证方式：

ldapTemplate.authenticate(LdapQueryBuilder.query().where("cn").is(req.getUsername()), newPassword);

OpenLDAP安装参见官网：https://www.openldap.org/doc/admin24/quickstart.html

参考网站：
http://www.zytrax.com/books/ldap/
http://www.openldap.org/
https://ldap.com/