本節書摘來自異步社群《linux/unix openldap實戰指南》一書中的第1章,第1.2節,作者:郭大勇著,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
1.2.1 openldap目錄架構介紹
目前openldap目錄架構分為兩種:一種為網際網路命名組織架構;另一種為企業級命名組織架構。本節分别為介紹兩種架構的用途,但本書主要以企業級命名組織架構為核心進行闡述openldap内部邏輯結構、工作原理以及企業實踐等相關知識。
1.2.2 網際網路命名組織架構
ldap的目錄資訊是以樹形結構進行存儲的,在樹根一般定義國家(c=cn)或者域名(dc=com),其次往往定義一個或多個組織(organization,o)或組織單元(organization unit,ou)。一個組織單元可以包含員工、裝置資訊(計算機/列印機等)相關資訊。例如uid=babs,ou=people,dc=example,dc=com,如圖1-2所示。
1.2.3 企業級命名組織架構
企業級命名組織架構的示例如圖1-3所示。
1.2.4 openldap的系統架構
openldap目前是一款開源賬号集中管理軟體,且屬于c/s架構(見圖1-4)。通過配置伺服器和用戶端,實作賬号的管理,并通過與第三方應用相結合,實作用戶端所有賬号均可通過服務端進行驗證,例如samba、apache、zabbix、ftp、postfix、emc存儲以及系統登入驗證并授權。
1.2.5 openldap的工作模型
openldap的工作模型如圖1-5所示。
openldap工作模型解釋如下:
用戶端向openldap伺服器發起驗證請求;
伺服器接收使用者請求後,并通過slapd程序向後端的資料庫進行查詢;
slapd将查詢的結果傳回給用戶端即可。如果有緩存機制,伺服器端會先将查詢的條目進行緩存,然後再發給用戶端。