Краткое функциональное описание протокола LDAP

LDAP
(копия моего материала, опубликованного на Wikipedia)
В протоколе LDAP определены следующие операции для работы с Каталогом:
— Операции подключения/отключения
— Подключение (bind) — позволяет ассоциировать клиента с определённым объектом Каталога (фактическим или виртуальным) для осуществления контроля доступа для всех прочих операций чтения/записи. Для того, чтобы работать с Каталогом, клиент обязан пройти аутентификацию как объект, отличительное имя (Distinguished Name) находится в пространстве имён, описываемом Каталогом. В запросе операции bind клиент может не указывать отличительное имя, в таком случае будет осуществлено подключение под специальным псевдонимом anonymous (обычно это что-то наподобие гостевой учетной записи с минимальными правами)
— Отключение (unbind) — позволяет клиенту в рамках сеанса соединения с LDAP-сервером переключиться на аутентификацию с новым отличительным именем. Команда unbind возможна только после аутентификации на сервере с использованием bind, в противном случае вызов unbind возвращает ошибку
— Поиск (search) — чтение данных из Каталога. Операция сложная, на вход принимает множество параметров, среди которых основными являются:
— База поиска (baseDN) — ветка DIT, от которой начинается поиск данных
— Глубина поиска (scope) — может иметь значения (в порядке увеличения охватываемой области): base, one, sub
    base — поиск непосредственно в узле — базе поиска
    one — поиск по всем узлам, являющимся прямыми потомками базового в иерархии, т.е. лежащим на один уровень ниже него
    sub — поиск по всей области, нижележащей относительно базы поиска (baseDN)
— Фильтр поиска (searchFilter) — это выражение, определяющее критерии отбора объектов каталога, попадающих в область поиска, задаваемую параметром scope. Выражение фильтра поиска записывается в обратной (префиксной) польской нотации, состоящей из логических (булевых) операторов и операндов, в свою очередь являющихся внутренними операторами сопоставления значений атрибутов LDAP (в левой части) с выражениями (в правой части) с использованием знака равенства.
Логические операторы представлены стандартным «набором»: & (логическое «И»b), | (логическое «ИЛИ»b) и! (логическое «НЕ»b).
Пример фильтра поиска:
(&(!(entryDN:dnSubtreeMatch:=dc=Piter,dc=Russia,ou=Peoples,dc=example,dc=com))(objectClass=sambaSamAccount)
(|(sn=Lazar*)(uid=Nakhims*)))

— Операции модификации — позволяют изменять данные в Каталоге, при этом в понятие модификации входит как добавление, удаление и перемещение записей целиком, так и редактирование записей на уровне их атрибутов. Подтипы модификации:
— Добавление (add) — добавление новой записи
— Удаление (delete) — удаление записи
— Модификация RDN (modrdn) — перемещение/копирование записи
— Модификация записи (modify) — позволяет редактировать запись на уровне её атрибутов,
добавляя новый атрибут или новое значение многозначного атрибута (add)
удаляя атрибут со всеми его значенями (delete)
и заменяя одно значение атрибута на другое (replace)
— Операция сравнения (compare) — позволяет для определённого отличительного имени сравнить выбранный атрибут с заданным значением

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.