前段时间一直在做LDAP+POSTFIX相关项目,先把关于LDAP的一些经验写出来,一来可能会帮助一些人,二来对我自己所学知识也是一个巩固。)
先声明:我写的只是我对LDAP的一些理解,如果我的理解错误,那就是对兄弟们的误导。所以你可以直接看文章的结尾提供的几个网址。
关于LDAP的概念随便网上有很多,我不想重复,这里只是说一下我自己的理解。
都说它是“轻量级目录协议”,太专业,我不懂,我只把它想象成“简单”的目录协议。
几个很重要的概念,以后会用到:
---------------------------------------------
dn :一条记录的位置
dc :一条记录所属区域
ou :一条记录所属组织
cn/uid:一条记录的名字/ID
实际上更多时候我只把它看成数据库。我把它和我非常熟悉的MYSQL数据库做比较,通常会得到更好的理解:
MYSQL用“表”储存数据,LDAP用“树”
MYSQL指定一条记录要3个条件:DB、TABLE、ROW。
LDAP却更自由,为什么呢?因为LDAP数据是“树”状的,而且这棵树是可以无限延伸的,假设你要树上的一个苹果(一条记录),你怎么告诉园丁它的位置呢?当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou,呵呵MYSQL里面好象没有这DD),最后就是这个苹果的名字(uid,记得我们设计MYSQL或其它数据库表时,通常为了方便管理而加上一个‘id’字段吗?)。 好了!这时我们可以清晰的指明这个苹果的位置了,就是那棵“歪脖树”的东边那个分叉上的靠西边那个分叉的再靠北边的分叉上的半红半绿的……,晕了!你直接爬上去吧!我还是说说LDAP里要怎么定义一个字段的位置吧,树(dc=waibo,dc=com),分叉(ou=bei,ou=xi,ou=dong),苹果(cn=honglv),好了!位置出来了:
dn:cn=honglv,ou=bei,ou=xi,ou=dong,dc=waibo,dc=com
一个有名的画家说过:“世上没有相同的2个鸡蛋”。当然也没有相同的2个苹果……,同样,在LDAP里也不可能存在2个相同的dn。
LDAP数据填充原理:
一棵树的生长,要循序渐进,如果还没有长出某个分叉,就不可能在那个分叉里长出苹果(问:FT!苹果是长在分叉上的吗?答:为了便于理解,你就当它是吧),同样,LDAP数据库也要一步步的充实,举一个学校数据库的例子,我们将要把一个庞大的学生档案放到LDAP里,大致需要这么做:
1、建立“树根”,这是通过修改“slapd.conf”来实现的,由于现在的目的是理解,所以具体步骤就不说了,反正就是在这一步建立了一个“dc=ourschool,dc=org”这样一个“树根”。 注意:我把它理解成“目录”,或者“容器”,甚至它本身也是文件(苹果)的特殊形式,熟悉LINUX文件系统的朋友会更容易理解。
2、建立18个系,分别是“dn:ou=computer,dc=ourschool,dc=org”、“dn:ou=film,dc=ourschool,dc=org”……
3、当然是在每个系里面建立专业,比如“dn:ou=linux,ou=computer,dc=ourschool,dc=org”……
4、(开始长苹果吧!)加学生喽——“dn:cn=stan,ou=linux,ou=computer,dc=ourschool,dc=org”……
5、已经完成了吗?对了!学生的详细信息还没有呐!不过先这样吧,反正记录是可以编辑的。
当你引用硬盘上的文件时,通常是这样的:
正斜杠(/)在这里表示级别分界线,并且从左向右阅读。
而在LDAP中则通过"distinguished name"(简称"dn")来表示文件,通常像下面这样:
逗号(,)在这里表示级别分界线,并且从右向左阅读。上述dn可以理解为:
术语对比:
与硬盘目录一样,目录服务器上的目录结构也没有任何限制,这就意味着你必须了解一些服务器的结构信息才能写程序。
更多关于LDAP的信息可以在下面两个URL找到:
<a href="https://wiki.mozilla.org/Directory" target="_blank">Mozilla</a>
<a href="http://www.openldap.org/" target="_blank">OpenLDAP Project</a>
LDAP模块的行为受下面的配置指令的影响
指令
数据类型
作用域
默认值
解释
ldap.max_links
整数
PHP_INI_SYSTEM
-1
每进程允许的最大LDAP连接数。"-1"表示无限制。
在进行LDAP编程之前,你必须知道目录服务器的下列信息:
服务器的IP地址(主机名)以及端口号
服务器的"base dn"(也就是"the world"目录下的子目录,比如:"o=My Company,c=US")
访问服务器的用户名(RDN)和密码(许多服务器允许"匿名绑定"来读取信息,但是其他操作必须有密码才行)
一般的LDAP编程步骤如下:
ldap_connect() // 连接到LDAP服务器
ldap_bind() // 匿名登陆或者认证登陆
做一些操作,比如读取、添加、删除等...
ldap_unbind() // 关闭连接
<dl></dl>
<dt>resource ldap_connect ([ string hostname=NULL[,inthostname=NULL[,intport = 389 ]] )</dt>
<dd></dd>
使用指定的主机名(hostname)和端口(hostname)和端口(port)连接到LDAP服务器。
<dt>$hostname</dt>
<dd>主机名,如果服务器端是 OpenLDAP 2.x.x 或更高版本,那么还可以使用 ldap://hostname/ 格式(URL格式)。</dd>
要使用SSL连接,那么必须确保OpenLDAP和PHP都带有SSL支持,并使用 ldaps://hostname/ 的格式。
如果使用空格分隔的主机名列表(比如"192.168.0.100:389 192.168.0.101"),那么此函数将依次尝试直到连接成功为止。
<dt>$port</dt>
<dd>连接的端口(默认为389)。在使用URL格式的时候不需要使用此参数,直接在URL里面指明即可(ldap://hostname:port/)。</dd>
连接成功则返回一个LDAP连接标识符,连接失败则返回 FALSE 。
如果服务器端是 OpenLDAP 2.x.x 或更高版本,那么此函数将始终返回一个LDAP连接标识符,而永远不会失败。实际的连接动作将在接下来调用 ldap_* 函数[通常是ldap_bind()]时执行。
如果不带任何参数调用此函数,则返回上一次连接已经打开的连接标识符。
<dt>bool ldap_bind ( resource linkidentifier[,stringlinkidentifier[,stringbind_rdn = NULL [, string $bind_password = NULL ]] )</dt>
使用指定的RDN(bindrdn)和密码(bindrdn)和密码(bind_password)绑定到LDAP目录。
<dt>$link_identifier</dt>
<dd>ldap_connect()函数返回的LDAP连接标识符</dd>
<dt></dt>
bindrdnbindrdnbind_password
<dd>绑定时使用的RDN(Relative Distinguished Name)和密码。如果未指定则使用匿名认证。</dd>
绑定成功返回 TRUE 否则返回 FALSE 。
<dt>string ldap_error ( resource $link_identifier )</dt>
检索LDAP操作的错误信息。
返回指定的连接标识符上最近一次LDAP操作的错误信息。
<dt>bool ldap_get_option ( resource linkidentifier,intlinkidentifier,intoption , mixed &retval)boolldapsetoption(resourceretval)boolldapsetoption(resourcelink_identifier , int option,mixedoption,mixednewval )</dt>
获取/设置LDAP选项的值。
<dt>$option</dt>
<dd>LDAP选项名称,主要的选项及其数据类型如下:</dd>
<dd><dl></dl></dd>
<dt>LDAP_OPT_DEREF(int)</dt>
<dd>搜索的时候如何处理别名,取值范围如下:LDAP_DEREF_NEVER(0,默认值), LDAP_DEREF_SEARCHING(1), LDAP_DEREF_FINDING(2), LDAP_DEREF_ALWAYS(3)</dd>
<dt>LDAP_OPT_NETWORK_TIMEOUT(int)</dt>
<dd>网络超时秒数,LDAP_NO_LIMIT(0,默认值)表示永不超时。</dd>
<dt>LDAP_OPT_PROTOCOL_VERSION(int)</dt>
<dd>指定使用的LDAP协议版本,取值范围如下:LDAP_VERSION2(2,默认值), LDAP_VERSION3 (3)。</dd>
<dt>LDAP_OPT_REFERRALS(bool)</dt>
<dd>LDAP库是否自动追随LDAP服务器返回的引用,取值范围如下:TRUE(1,默认值), FALSE(0)。</dd>
<dt>&$retval</dt>
<dd>接受选项值的变量</dd>
<dt>$newval</dt>
<dd>选项的新值</dd>
获取/设置成功返回 TRUE 否则返回 FALSE 。
<dt>bool ldap_add ( resource linkidentifier,stringlinkidentifier,stringdn , array entry)boolldapdelete(resourceentry)boolldapdelete(resourcelink_identifier , string $dn )</dt>
在LDAP目录中添加/删除一个项。
<dt>$dn</dt>
<dd>将要添加/删除的项目名称(distinguished name)。</dd>
<dt>$entry</dt>
<dd>指定新项内容的关联数组(attribute=>value)。如果value也是一个数组,那么必须是从0开始的索引数组。例如:</dd>
添加/删除成功返回 TRUE 否则返回 FALSE 。
<dt>mixed ldap_compare ( resource linkidentifier,stringlinkidentifier,stringdn , string attribute,stringattribute,stringvalue )</dt>
检查LDAP目录项dn的dn的attribute属性值与给定的$value是否相同。注意:不能用来比较二进制数据!
<dd>LDAP项的名称(distinguished name)</dd>
<dt>$attribute</dt>
<dd>属性名</dd>
<dt>$value</dt>
<dd>给定的值</dd>
相同返回 TRUE ,不同返回 FALSE ,遇见错误返回 -1
<dt>resource ldap_read ( resource linkidentifier,stringlinkidentifier,stringbase_dn , string filter[,arrayfilter[,arrayattributes [, int attrsonly[,intattrsonly[,intsizelimit [, inttimelimit[,inttimelimit[,intderef ]]]]] )</dt>
resource ldap_list ( resource linkidentifier,stringlinkidentifier,stringbase_dn , string filter[,arrayfilter[,arrayattributes [, int attrsonly[,intattrsonly[,intsizelimit [, int timelimit[,inttimelimit[,intderef ]]]]] )
resource ldap_search ( resource linkidentifier,stringlinkidentifier,stringbase_dn , string filter[,arrayfilter[,arrayattributes [, int attrsonly[,intattrsonly[,intsizelimit [, int timelimit[,inttimelimit[,intderef ]]]]] )
使用指定的过滤器搜索LDAP目录。三个函数的不同之处在于搜索范围不同:
read仅搜索basedn本身(LDAPSCOPEBASE),相当于从目录中读取一个条目(entry)。list仅搜索basedn本身(LDAPSCOPEBASE),相当于从目录中读取一个条目(entry)。list仅搜索base_dn的下一级对象(LDAP_SCOPE_ONELEVEL),不包含本身,相当于"ls"命令。
search搜索$base_dn本身及其所有子对象(LDAP_SCOPE_SUBTREE),相当于搜索整个目录树。
<dt>$base_dn</dt>
<dd>将要被搜索的目录的DN</dd>
<dt>$filter</dt>
<dd>搜索过滤器。比如"(objectClass=*)"表示搜索所有条目(对于read函数则表示所有属性)。</dd>
<dt>$attributes</dt>
<dd>需要检索的属性名称数组,比如:array("mail", "sn", "cn")。</dd>
注意:不管有没有指定,"dn"属性的值总会被返回。
如果不指定此参数,那么将返回所有的属性值。
<dt>$attrsonly</dt>
<dd>默认值"0"表示同时获取属性的类型(attribute type)和属性的值(attribute value)。</dd>
非默认值"1"表示仅获取属性的类型(attribute type)。
<dt>$sizelimit</dt>
<dd>限定最多返回多少条记录。默认值"0"表示没有限制。注意:这个参数不能超越服务器的限制。</dd>
<dt>$timelimit</dt>
<dd>限定搜索操作最大允许进行多少秒。默认值"0"表示没有限制。注意:这个参数不能超越服务器的限制。</dd>
<dt>$deref</dt>
<dd>指定搜索的时候如何处理别名。取值范围如下:</dd>
<dt>LDAP_DEREF_NEVER(默认)</dt>
<dd>在搜索中或者查找那基础对象时做不复引用别名</dd>
<dt>LDAP_DEREF_SEARCHING</dt>
<dd>在基础对象的附属的搜索中而不是查找那基础对象时做复引用别名</dd>
<dt>LDAP_DEREF_FINDING</dt>
<dd>在基础对象而不是其附属的搜索中做复引用别名</dd>
<dt>LDAP_DEREF_ALWAYS</dt>
<dd>在搜索中或者查找那基础对象时做都复引用别名</dd>
成功返回一个结果集的资源描述符,通常被其他函数以$result_identifier引用,失败返回FALSE
<dt>array ldap_get_entries ( resource linkidentifier,resourcelinkidentifier,resourceresult_identifier )</dt>
返回前一次搜索操作的结果集,包括每一项的属性和属性值。
<dt>$result_identifier</dt>
<dd>ldap_read/ldap_list/ldap_search函数返回的结果集的资源描述符。</dd>
成功返回一个包含结果集的多维数组,失败返回FALSE。
注意:结果集数组的属性索引将被转换成小写字母(对于LDAP来说属性是大小写无关的)。
结果集数组的结构如下所示:
<dt>bool ldap_unbind ( resource $link_identifier )</dt>
解除绑定,也就是关闭LDAP连接。
成功返回 TRUE 否则返回 FALSE 。
本文转自二郎三郎博客园博客,原文链接:http://www.cnblogs.com/haore147/p/7172184.html,如需转载请自行联系原作者
![【MySQL数据库】数据库索引事务1.索引2.事务[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)