一、LDAP协议基础概念
1. 从用途上阐述LDAP,它是一个存储静态相关信息的服务,适合“一次记录多次读取”。常用LDAP服务存储的信息:
- 公司的物理设备信息(如打印机,它的IP地址、存放位置、厂商、购买时间等)
- 公开的员工信息(地址、电话、电子邮件…)
- 合同和账号信息(客户信息、产品交付日期、投标信息、项目信息…)
- 凭证信息(认证凭证、许可证凭证…)
2. 从数据结构上阐述LDAP,它是一个树型结构,能有效明确的描述一个组织结构特性的相关信息。在这个树型结构上的每个节点,我们称之为“条目(Entry)”,每个条目有自己的唯一可区别的名称(Distinguished Name ,DN)。条目的DN是由条目所在树型结构中的父节点位置(Base DN)和该条目的某个可用来区别身份的属性(称之为RDN如uid , cn)组合而成。对Full DN :“shineuserid=linly , ou=Employee , dc=jsoso , dc=net”而言,其中Base DN:“ou=Employee , dc=jsoso , dc=net”,RDN:“shineuserid=linly”下面是一个LDAP服务器的数据结构图: 
3. 从协议衍化上阐述LDAP,它是“目录访问协议DAP——ISO X.500”的衍生,简化了DAP协议,提供了轻量级的基于TCP/IP协议的网络访问,降低了管理维护成本,但保持了强壮且易于扩充的信息框架。LDAP的应用程序可以很轻松的新增、修改、查询和删除目录内容信息。
二、LDAP的使用:
软件openLDAP,开源,http://www.openldap.org;
1.安装,配置:
2.数据操作:
添加数据=>
(1)使用ldif(LDAP目录交换格式)文件;
(2)文件内,每条记录,使用空行分开:
第一行:dn: xxxxx,必须定义顶级区分名;
第二行->第n行:属性:值;
(3)命令行添加内容:
ladapadd -D "区分名dn" -w 密码< 文件.ldif
如远程修改,添加-h 主机名;-p 端口名(一般6005);
部分情况需要追加-x,否则添加失败;
-v,输出运行情况;
ldapadd -x -h localhost -p 6005 -w 密码 -D cn=root -v -f 文件名.ldif
(4)命令行查询内容:
查询某个区分名的所有数据,ldapsearch 区分名=值
查询根的所有区分名,ldapsearch '(&(条件1)(ou=根名))' dn
如远程修改,添加-h 主机名;-p 端口名(一般6005);
ldapsearch -x -LLL -h localhost -p 6005 -w 密码 -D cn=root -b dc=xx "(|(条件1))" "属性名+空格+属性名"
dc,条目(多个属性的集合)所属的完整路径;