配置Linux目录服务器+LDAP

2024年3月14日发(作者：)

手把手教您配置Linux目录服务器

近几年，随着LDAP（Light Directory Access Protocol，轻量级目录访问

协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现

信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认

证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务

等方面，都需要应用目录服务技术来实现一个通用、 完善、应用简单和可以扩展

的系统。

对于任何一家大IT网络的企业来说，IT系统中的目录服务功能是必不可少

的。如果一个在全国有多个分支机构的企业，已经有了一个内部网络系统，每一

个分支机构都有一个局域网，局域网之间通过专线或者VPN通道连接在一起，那

么，如何将网络中的资源和信息有效地管理起来呢？通常，这个企业可以在每一

个分支机构或者每个城市建立一个目录服务器，任何地方的员工连接到本地目录

服务器就可以访问到目录树中所有的信息，在目录服务器之间复制目录信息，以

保持同步。比如，人事部门看到的人员目录与财务部门、设备管理部门看到的人

员目录是完全一致的，他们所使用的应用系统无须再建立另一套目录结构。当然，

这一切都是要经过身份验证的。

目录服务有着如此重要的作用，但在过去，企业通常 采用基于Windows的目

录服务器，Linux在这方面相形逊色。作为Windows的核心内容，目录服务被企

业IT人员认为是Windows与 Linux相比最具竞争力的部分，也成为Linux产品

架构中的软肋。随着Red Hat Enterprise Linux 4.0出现，这个情况已经改变了。

RHEL 4 内附的LDAP 服务器为OpenLDAP 2.2.13-2 版，OpenLDAP 2.x包括数个

重要功能：

1. 支持LDAPv3 - OpenLDAP 2.0 除了其它改善外还支持SASL

（SimpleAuthentication and Security Layer）、TLS（Transport Layer Security）

以及SSL（Secure Sockets Layer）。LDAPv2 之后通讯协议很多的改变都是为了

加强LDAP 的安全性。

2. 支持IPv6 - OpenLDAP 支持新一代的因特网通讯协议第6 版。

3. LDAP Over IPC - OpenLDAP 能够使用IPC 在系统内进行通讯。这可以避

免使用网络通讯以增加安全性。

4. 使用新的应用程序界面： 改善程序设计人员联机及使用程序的方法。

本文将以Red Hat Enterprise Linux 4.0 为例，介绍在Linux平台使

用OpenLDAP上建立目录服务器。

一、LDAP协议简介

LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是

实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专

门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的，

基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大

量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一 般都

非常简单。这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。

为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访 问协议—

LDAP。 LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)

的数据结构中。条目相当于关系数据库中表的记录；条目是具有区别名 DN

（Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于

关系数据库表中的关键字（Primary Key）。属性由类型（Type）和一个或多个值

（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，

只是为了方便检 索的需要，LDAP中的Type可以有多个Value， 而不是关系数据

库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织

一般按照地理位置 和组织关系进行组织，非常的直观。LDAP系统结构图见图1.