LDAP和AD域的介紹及使用

1 LDAP入門

成都創(chuàng)新互聯(lián)專注于企業(yè)成都全網(wǎng)營銷、網(wǎng)站重做改版、章丘網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5場景定制、商城網(wǎng)站定制開發(fā)、集團公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為章丘等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

1.1 定義

LDAP是輕量目錄訪問協(xié)議(LightweightDirectory Access Protocol)的縮寫，LDAP標(biāo)準(zhǔn)實際上是在X.500標(biāo)準(zhǔn)基礎(chǔ)上產(chǎn)生的一個簡化版本。

1.2 目錄結(jié)構(gòu)

LDAP也可以說成是一種數(shù)據(jù)庫，也有client端和server端。server端是用來存放數(shù)據(jù)，client端用于操作增刪改查等操作，通常說的LDAP是指運行這個數(shù)據(jù)庫的服務(wù)器。只不過，LDAP數(shù)據(jù)庫結(jié)構(gòu)為樹結(jié)構(gòu)，數(shù)據(jù)存儲在葉子節(jié)點上。

因此，在LDAP中，位置可以描述如下

因此，蘋果redApple的位置為

dn標(biāo)識一條記錄，描述了數(shù)據(jù)的詳細路徑。因此，LDAP樹形數(shù)據(jù)庫如下

因此，LDAP樹形結(jié)構(gòu)在存儲大量數(shù)據(jù)時，查詢效率更高，實現(xiàn)迅速查找，可以應(yīng)用于域驗證等。

1.3 命名格式

LDAP協(xié)議中采用的命名格式常用的有如下兩種：LDAP URL 和X.500。

任何一個支持LDAP 的客戶都可以利用LDAP名通過LDAP協(xié)議訪問活動目錄，LDAP名不像普通的Internet URL名字那么直觀，但是LDAP名往往隱藏在應(yīng)用系統(tǒng)的內(nèi)部，最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規(guī) 范，也稱為屬性化命名法，包括活動目錄服務(wù)所在的服務(wù)器以及對象的屬性信息。

2 AD入門

2.1 AD定義

AD是Active Directory的縮寫，AD是LDAP的一個應(yīng)用實例，而不應(yīng)該是LDAP本身。比如：windows域控的用戶、權(quán)限管理應(yīng)該是微軟公司使用LDAP存儲了一些數(shù)據(jù)來解決域控這個具體問題，只是AD順便還提供了用戶接口，也可以利用ActiveDirectory當(dāng)做LDAP服務(wù)器存放一些自己的東西而已。比如LDAP是關(guān)系型數(shù)據(jù)庫，微軟自己在庫中建立了幾個表，每個表都定義好了字段。顯然這些表和字段都是根據(jù)微軟自己的需求定制的，而不是LDAP協(xié)議的規(guī)定。然后微軟將LDAP做了一些封裝接口，用戶可以利用這些接口寫程序操作LDAP，使得ActiveDirectory也成了一個LDAP服務(wù)器。

2.2 作用

2.2.1 用戶服務(wù)

管理用戶的域賬號、用戶信息、企業(yè)通信錄（與電子郵箱系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理、按需實施組管理策略等。這里不單單指某些線上的應(yīng)用更多的是指真實的計算機，服務(wù)器等。

2.2.2 計算機管理

管理服務(wù)器及客戶端計算機賬戶、所有服務(wù)器及客戶端計算機加入域管理并按需實施組策略。

2.2.3 資源管理

管理打印機、文件共享服務(wù)、網(wǎng)絡(luò)資源等實施組策略。

2.2.4 應(yīng)用系統(tǒng)的支持

對于電子郵件（Exchange）、在線及時通訊（Lync）、企業(yè)信息管理（SharePoint）、微軟CRMERP等業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)認(rèn)證（身份認(rèn)證、數(shù)據(jù)集成、組織規(guī)則等）。這里不單是微軟產(chǎn)品的集成，其它的業(yè)務(wù)系統(tǒng)根據(jù)公用接口的方式一樣可以嵌入進來。

2.2.5 客戶端桌面管理

系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：用戶適用域中資源權(quán)限限制、界面功能的限制、應(yīng)用程序執(zhí)行特征的限制、網(wǎng)絡(luò)連接限制、安全配置限制等。

2.3 AD域結(jié)構(gòu)常用對象

2.3.1 域(Domain)

域是AD的根，是AD的管理單位。域中包含著大量的域?qū)ο?，如：組織單位(Organizational Unit)，組(Group)，用戶(User)，計算機(Computer)，聯(lián)系人(Contact),打印機，安全策略等。

可簡單理解為：公司總部。

2.3.2 組織單位(Organization Unit)

組織單位簡稱為OU是一個容器對象，可以把域中的對象組織成邏輯組，幫助網(wǎng)絡(luò)管理員簡化管理組。組織單位可以包含下列類型的對象：用戶，計算機，工作組，打印機，安全策略，其他組織單位等?？梢栽诮M織單位基礎(chǔ)上部署組策略，統(tǒng)一管理組織單位中的域?qū)ο蟆?/p>

可以簡單理解為：分公司。

2.3.3 群組(Group)

群組是一批具有相同管理任務(wù)的用戶賬戶，計算機賬戶或者其他域?qū)ο蟮囊粋€集合。例如公司的開發(fā)組，產(chǎn)品組，運維組等等?？梢院唵卫斫鉃榉止镜哪呈聵I(yè)部。

群組類型分為兩類:

2.3.4 用戶(User)

AD中域用戶是最小的管理單位，域用戶最容易管理又最難管理，如果賦予域用戶的權(quán)限過大，將帶來安全隱患，如果權(quán)限過小域用戶無法正常工作?？珊唵卫斫獬蔀槟硞€工作人員。

域用戶的類型，域中常見用戶類型分為：

一個大致的AD如下所示：

總之：Active Directory =LDAP服務(wù)器 LDAP應(yīng)用（Windows域控）。ActiveDirectory先實現(xiàn)一個LDAP服務(wù)器，然后自己先用這個LDAP服務(wù)器實現(xiàn)了自己的一個具體應(yīng)用（域控）。

3 使用LDAP操作AD域

特別注意：Java操作查詢域用戶信息獲取到的數(shù)據(jù)和域管理員在電腦上操作查詢的數(shù)據(jù)可能會存在差異（同一個意思的表示字段，兩者可能不同）。

連接ad域有兩個地址：ldap://XXXXX.com:389 和 ldap://XXXXX.com:636（SSL）。

端口389用于一般的連接，例如登錄，查詢等非密碼操作，端口636安全性較高，用戶密碼相關(guān)操作，例如修改密碼等。

域控可能有多臺服務(wù)器，之間數(shù)據(jù)同步不及時，可能會導(dǎo)致已經(jīng)修改的數(shù)據(jù)被覆蓋掉，這個要么域控縮短同步的時間差，要么同時修改每一臺服務(wù)器的數(shù)據(jù)。

3.1 389登錄

3.2 636登錄驗證（需要導(dǎo)入證書）

3.3 查詢域用戶信息

3.4 重置用戶密碼

3.5 域賬號解鎖

總結(jié)

ldap是什么

簡單的說來，LDAP是一個得到關(guān)于人或者資源的集中、靜態(tài)數(shù)據(jù)的快速方式。

LDAP是一個用來發(fā)布目錄信息到許多不同資源的協(xié)議。通常它都作為一個集中的地址被使用，不過根據(jù)組織者的需要，它可以做得更加強大。

LDAP其實是一個電話簿，類似于我們所使用諸如NIS(Network Information Service)、DNS (Domain Name Service)等網(wǎng)絡(luò)目錄，也類似于你在花園中所看到的樹木。

不少LDAP開發(fā)人員喜歡把LDAP與關(guān)系數(shù)據(jù)庫相比，認(rèn)為是另一種的存貯方式，然后在讀性能上進行比較。實際上，這種對比的基礎(chǔ)是錯誤的。LDAP和關(guān)系數(shù)據(jù)庫是兩種不同層次的概念，后者是存貯方式（同一層次如網(wǎng)格數(shù)據(jù)庫，

對象數(shù)據(jù)庫），前者是存貯模式和訪問協(xié)議。LDAP是一個比關(guān)系數(shù)據(jù)庫抽象層次更高的存貯概念，與關(guān)系數(shù)據(jù)庫的查詢語言SQL屬同一級別。LDAP最基本

的形式是一個連接數(shù)據(jù)庫的標(biāo)準(zhǔn)方式。該數(shù)據(jù)庫為讀查詢作了優(yōu)化。因此它可以很快地得到查詢結(jié)果，不過在其它方面，例如更新，就慢得多。

特殊的數(shù)據(jù)庫

從另一個意義上 LDAP是實現(xiàn)了指定的數(shù)據(jù)結(jié)構(gòu)的存貯，它是一種特殊的數(shù)據(jù)庫。但是LDAP和一般的數(shù)據(jù)庫不同，明確這一點是很重要的。 LDAP對查詢進行了優(yōu)化，與寫性能相比LDAP的讀性能要優(yōu)秀很多。

就象Sybase、Oracle、Informix或Microsoft的數(shù)據(jù)庫管理系統(tǒng)（DBMS）是用于處理查詢和更新關(guān)系型數(shù)據(jù)庫那樣，LDAP服務(wù)器也是用來處理查詢和更新LDAP目錄的。換句話來說LDAP目錄也是一種類型的數(shù)據(jù)庫，但不是關(guān)系型數(shù)據(jù)庫。要特別注意的是，LDAP通常作為一個 hierarchical數(shù)據(jù)庫使用，而不是一個關(guān)系數(shù)據(jù)庫。因此，它的結(jié)構(gòu)用樹來表示比用表格好。正因為這樣，就不能用SQL語句了。

21世紀(jì)的LDAP技術(shù)發(fā)展很快。 幾乎所有計算機平臺上的所有的應(yīng)用程序都可以從LDAP目錄中獲取信息。LDAP目錄中可以存儲各種類型的數(shù)據(jù)：電子郵件地址、郵件路由信息、人力資源數(shù)據(jù)、公用密匙、聯(lián)系人列表，等等。通過把LDAP目錄作為系統(tǒng)集成中的一個重要環(huán)節(jié)，可以簡化員工在企業(yè)內(nèi)部查詢信息的步驟，甚至連主要的數(shù)據(jù)源都可以放在任何地方。

服務(wù)器

LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)，例如：可以把數(shù)據(jù)“推”到遠程的辦公室，以增加數(shù)據(jù)的安全性。復(fù)制技術(shù)是內(nèi)置在LDAP服務(wù)器中的而且很容易配置。如果要在DBMS中使用相同的復(fù)制功能，數(shù)據(jù)庫廠商就會要你支付額外的費用，而且也很難管理。

如何在 Windows Server 2008 中 啟用 LDAP 簽名

配置為需要 LDAP 服務(wù)器簽名目錄

一、使用組策略

服務(wù)器的 LDAP 簽名要求設(shè)置

1、單擊開始單擊運行類型mmc.exe然后單擊確定.

2、上將文件在菜單中，單擊添加/刪除管理單元.

3、在該添加或刪除管理單元對話框框單擊組策略管理編輯器單擊添加.

4、在該選擇組策略對象對話框框單擊瀏覽.

5、在該瀏覽組策略對象對話框框單擊默認(rèn)域策略在下，域、 ou 和鏈接的組策略對象區(qū)域，然后單擊確定.

6、單擊完成.

7、單擊確定.

8、展開默認(rèn)域控制器策略展開計算機配置展開策略展開Windows 設(shè)置。展開安全設(shè)置展開本地策略然后單擊安全選項.

9、用鼠標(biāo)右鍵單擊域控制器： LDAP 服務(wù)器簽名要求然后單擊屬性.

10、在該域控制器： LDAP 服務(wù)器簽名要求屬性對話框框啟用定義這個策略設(shè)置,單擊以選中要求簽名在該定義這個策略設(shè)置下拉列表，然后單擊確定.

11、單擊是在該確認(rèn)設(shè)置更改對話框。

二、客戶端 LDAP 簽名要求的設(shè)置

1、單擊開始單擊運行類型mmc.exe然后單擊確定.

2、上將文件在菜單中，單擊添加/刪除管理單元.

3、在該添加或刪除管理單元對話框框單擊組策略對象編輯器,然后單擊添加.

4、單擊完成.

5、單擊確定.

6、展開本地計算機策略展開計算機配置展開策略展開Windows 設(shè)置。展開安全設(shè)置展開本地策略然后單擊安全選項.

7、用鼠標(biāo)右鍵單擊網(wǎng)絡(luò)安全： LDAP 客戶端簽名要求然后單擊屬性.

8、在該網(wǎng)絡(luò)安全： LDAP 客戶端簽名要求屬性對話框框單擊以選中要求簽名在下拉列表，然后單擊確定.

9、單擊是在該確認(rèn)設(shè)置更改對話框。