作者:
出处:1.目录的定义:
一个目录指的是一个集合,这个集合记录着关于以层次结构组织的事物的信息。它是使用户或程序找到某个特定任务所需特征的资源的数据仓库。这个数据仓库有着和普遍意义上的关系型数据库区分开来的特点。那就是它被访问的频率远远高于被更新的频率。它在访问方面做了优化,而且对分布式访问也做了优化。它可以部署为集中式也可以布署为分布式。当它以分布式的形式进行布署的时候,每个目录服务器保留着唯一没有重复的信息子集。每个目录入口存储在一个且仅一个目录服务器中。 2.目录客户和服务器端 目录常常以C-S架构进行访问。请求访问信息的程序通过系统API进行访问。在C语言中有LDAP的API接口,在JAVA中称为Java Naming and Directory Interface (JNDI)。 3.目录安全 鉴权工作主要是通过access control lists (ACLs)来进行的。 一个ACL定义了一个或一组用户对目录访问的权限。为了简化ACL,往往对用户进行分组。 4.TDS的一些安全特点: 1)Identification 和 authentication 进行连接控制和鉴权 2)Simple Authentication and Security Layer 提供了额外的鉴权机制 3)The Secure Sockets Layer (SSL) and Transaction Layer Security (TLS) 提供数据和鉴权加密 4)Access control 进行访问控制, 5)Auditing 进行安全相关事件的审计,提供审计记录 5.TDS的五种安全角色 1)Primary directory administrator 它和某个特定用户相连接。在一个LDAP服务器上只有一个,并且它有绝对权限管理这个服务器。它在安装和配置时建立,其中包含一个用户ID、一个密码、一个预定义的操纵整个目录服务器的权限。 2)Administrative group members 它是一些被赋予管理权限的子集权限的用户。诸如:Password Administrator和Server Start/Stop Administrator就是这样的角色。 3)Global administrative group members Global administrative group members是目录管理员在分布式环境中分发权限的一种方式。 4)LDAP user LDAP user是由ACL确定权限的用户。一个LDAP用户被指定一个LDAP入口,其中包含鉴权信息。 5)Master server DN 主服务器的DN,用于在复制时用。 6.密码策略: 分为个人、组和全局密码策略。 7.DN 每一个目录的入口都有一个唯一的名字,这个名字就是distinguished name (DN),一个DN由attribute=value pairs这样的形式组成,之间由逗号隔开,例如:cn=Ben Gray,ou=editing,o=New York Times,c=US 任何在目录架构中定义的属性,但不是系统或受限属性,都可以被定义为DN。它们的顺序很重要。一个DN包含在目录层级结构中从根到最上层每一层上的一个 component。LDAP的DN从一个最有特定的属性开始,然后慢慢宽泛,DN的第一项往往被称为Relative Distinguished Name (RDN),它定义了一个可以区别于其他有着相同双亲的入口的特征。 分号可以用于分割RDN,一个值若是被双引号所围,则进行其中一些字符则将进行转义。作者:
出处: