LDAP (Lightweight Directory Access Protocol),中文称为轻量级目录存取通讯协议,此通讯协议可针对企业内使用者及计算机的数据提供查询的服务,使用者可依照其被授予的权限查询相关使用者或计算机的信息。LDAP目前最近的版本为V3,此通讯协议被定义于RFC2251,因此其字段皆可被所有遵照标准的程序所解析,也因为其格式通用,可作为各种服务器作为储存账号及密码之用途,好处是集中管理,只需更动LDAP服务器数据即可使所有服务器的数据同步更新,增进管理的方便性。
LDAP的结构为一树状结构,从根部开始会以网域作为root的名称,再由此root将以单位组织或群组作分类,于群组内建立各个使用者及计算机的数据,这些数据以entry的方式存放,这些entry为各种数据的集合,查询时使用特定的格式,称作LDIF (LDAP Data Interchange Format),以LDIF来表示各entry,作为查询LDAP数据的比对基础,LDIF几个重要的字段包含DN (distinguished name),此字段用来表示LDAP某个特定的entry,因此这个字段的值是唯一的;DC (domain component)用来表示此网域组成的方使,其表示类似于domain name,例如google.com这个网域有LDAP,则此LDAP的root可表示为DC=google, DC=com;OU (organizational unit)表示LDAP内组织单位群组的名称,例:有个单位为业务部(sales),则表示这个业务部的群组的方式为OU=sales;CN (common name)为通用的字段名称,这些通用的名称可能是使用者、计算机、共享数据夹或联络人,例如有笔使用者的entry名称为user1,则要表示这个使用者可表示为CN=user1。因此要表示某个使用者时,此entry可表示为DN : CN=user1, OU=sales, DC=google, DC=com。
而在搜寻时除了上面的表示entry的方式,要搜寻entry内特定的数据也有标准的语法,包含 “=”(等于)、“&”(交集)、“!”(不等于)及“*”(万用字符),例如要找搜寻使用者国别台湾的entry,其搜寻语法为((objectClass=person)&(!c=TW))。
友旺的产品在账号的管理上,都可以与LDAP的服务器作同步,以下将介绍各字段应该填入的值,协助使用者能够快速的设定LDAP连结,下图为设定的基本画面。
·LDAP服务器(IP或网域名称): LDAP服务器的IP或者Domain Name。
·LDAP服务器埠号:LDAP服务器使用的埠号,预设是389。
·搜寻识别名称:请填入要搜寻从某个节点以下的所有值,以上面的例子,若需要搜寻google.com业务部的所有人员,就是要搜寻sales以下的使用者,则这边应该输入OU = sales, DC=google, DC=com,当使用者的DN符合此识别名称时,才会成为被搜寻的对象。
·LDAP过滤器:针对entry的内容做过滤,例如要过滤非台湾的使用者,可输入(c=TW)。
·账号识别名称及密码:请输入一组可登入此LDAP服务器的账号及密码,不一定要是管理员的账号密码,但请注意输入的账号必须要有查询的权限。
输入完毕后请先点选辅助测试,确定此设定可以连入LDAP服务器,确定联机成功可正常运作后,再点选确定储存设定,若不确定要设的搜寻识别名称或LDAP过滤的字段,可以使用LDAP browser查询。
