LDAP（輕量級目錄存取協議

LDAP 是標準 TCP/IP 堆疊協議，用於儲存和查詢分層目錄中的資訊。它是 X.500 目錄服務協議的替代方案，後者更佔用資源。 LDAP 通常用於 SSO 驗證和儲存。依照標準，LDAP 使用 TCP 連接埠 389 進行未加密通信，並透過加密通道使用 TLS 連接埠 636。

LDAP 是如何運作的？

1. 客戶端透過專用 TCP 連接埠啟動 LDAP 會話。
2. （可選）讀取和修改會話選項值。
3. 建立與 LDAP 伺服器的連接，或使用綁定函數之一透過特權驗證用戶端明確綁定到伺服器。
4. 向電子郵件伺服器提交查詢或建立與印表機的連線。伺服器接收查詢並傳回對應資訊給使用者。
5. 完成後，關閉與 LDAP 伺服器的連線。

與大多數現代基於 http 的協定不同，LDAP 使用持久連接，在與目錄伺服器通訊時可以存活數天。

使用 LDAP 的優點

1. 這是一個不斷發展的成熟協定。它是大多數大型企業的關鍵組成部分，因此需要維護協議的修訂和更新標準。
2. LDAP 是 X.500 協定的輕量級版本，但與其他現代協定相比也非常輕量級。
3. LDAP 很安全，通常用於儲存使用者名稱、密碼和其他敏感資訊。但其安全性取決於其實施。採用此協議時遵循最佳實踐非常重要，例如：
   • 建立存取控制策略。
   • 維護目錄資料的多個副本。
   • 加密密碼等敏感資訊。

LDAP 的元件

屬性：LDAP 系統中的資料儲存在稱為屬性的鍵值對中。您可以透過使用冒號和空格分隔名稱和值來設定屬性值。例如

郵件：johndoe@gmail.com

使用等號來引用屬性及其資料而不設定它。例如

mail=johndoe@gmail.com

最常用的屬性包括：
- ou：組織單位
- _ dn_：專有名稱
- cn：常用名稱
- 描述
- dc：域組件
- givenName：名字
- mail：電子郵件地址
- sn：姓氏

條目：條目是與某事物關聯或描述某事物的屬性的集合。條目可以是系統中的使用者。將其視為關係資料庫中的一行。每個條目包含：
- 專有名稱（唯一標識 DIT 層次結構中的特定條目
- 屬性集合（它們保存條目的資料）
- 物件類別的集合（它們指示條目代表什麼類型的對象，例如有關設備或人員的資訊）

dn: ou=Users,dc=example,dc=com,uid=jd001
objectClass: EntUsers
cn: Jane Doe
sn: Doe
mail: jdoe@example.com
uid: jd001

搜尋過濾器：用於定義識別包含某些類型資訊的條目的條件。
LDAP URLS：此 URL 包含可以引用目錄伺服器或搜尋條件的不同資訊。

LDAP的主要操作員

1. 新增：在目錄中插入新條目。
2. 修改：更改現有目錄條目。
3. 綁定：驗證 LDAP 用戶端並將其連接到伺服器。
4. 刪除：刪除目錄項目。

LDAP 由 Microsoft 的 Active Directory 和其他目錄伺服器（例如 OpenLDAP 和 Red Hat Directory Server）使用。要在企業內部設定LDAP，您需要目錄伺服器、具有不同權限的使用者、可查詢的目錄資料和LDAP用戶端應用程式。
-

以上是LDAP（輕量級目錄存取協議的詳細內容。更多資訊請關注PHP中文網其他相關文章！