LDAP是什么
IXPUB技术博客.L k�I�h�w�e�b�j!SLDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本
使用,不过根据组织者的需要,它可以做得更加强大。
�s.B�b�u*B�R�c0 LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多。要特别注意的是,LDAP通常作为一个hierarchal数据库使用,而不是一个关系数据库。因此,它的结构用树来表示比用表格好。正因为这样,就不能用SQL语句了。
-J.E&\#{�h�[,r;V0$`5Z
p7E,\*C�}0 简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。
IXPUB技术博客�K9Q�y�b"J�e-A�I�x0a)M�q�`�{�F�U!S0LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,其实是一话号码簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等
网络目录,也类似于你在花园中所看到的树木。
IXPUB技术博客5Q%L�i�E i�?�h�L�V0}LDAP是一种特殊的数据库。但是LDAP和一般的数据库不同,明白这一点是很重要的。 LDAP对查询进行了优化,与写性能相比LDAP的读性能要优秀很多。
�J)^�S)V$\5g�?�T;I�i�E01.1 LDAP的
存储规则
�v�L�u,w"d�T7h0区分名(DN,Distinguished Name)
IXPUB技术博客&D!m _�C:L9p;~*S!i!i�r和自然界中的树不同,文件系统/LDAP/电话号码簿目录的每一片枝叶都至少有一个独一无二的属性,这一属性可以帮助我们来区别这些枝叶。
.L)]�S1R0Q�o0在文件系统中, 这些独一无二的属性就是带有完整路径的文件名。比如/etc/passwd,该文件名在该路径下是独一无二的。当然我们可以有/usr/passwd, /opt/passwd,但是根据它们的完整路径,它们仍然是唯一的。
�Y�D:h2^+d#G*F#o0在LDAP中,一个条目的区分名称叫做“dn”或者叫做区分名。在一个目录中这个名称总是唯一的。比如,我的dn是"uid=aghaffar, u=People, o=developer.ch"。不可能有相同的dn,但是我们可以有诸如"uid=aghaffar, u=Administrators, o=developer.ch"的dn。这同上面文件系统中/etc/passwd 和 /usr/passwd的例子很类似。
�l�a�Y5L�_'V w0我们有独一无二的属性,在"ou=Administrators, o=developer.ch" 中uid和在"ou=People, o=developer.ch"中的uid。这并不矛盾。
7K2X�F�A�w�K"y0CN=Common Name 为用户名或
服务器名,最长可以到80个字符,可以为中文;
�b�z�i�P�X$q;i8K0OU=Organization Unit为组织单元,最多可以有四级,每级最长32个字符,可以为中文;
IXPUB技术博客�H�X+]�H�A3~&U�U�cO=Organization 为组织名,可以3—64个字符长
�V�V�r)K�o;{,p-t0C=Country为国家名,可选,为2个字符长
3Z�Z3V�n&n;K�i9c3k�F�r,U0IXPUB技术博客5H$`-x�~0u�DLDAP目录以一系列“属性对”的形式来存储记录项,每一个记录项包括属性类型和属性值(这与关系型数据库用行和列来存取数据有根本的不同)。
IXPUB技术博客
t-^:[�` h9];zmail =
testmail@mccc.net#E�w�j#K�f�n�e u�~�z0othermailbox =
testmailother@mccc.com�w+{#a�U�l)q+V/M7j�H0givenname = givenname
C+P7P�A x�O:~4k0sn = test sn
IXPUB技术博客�x�|�p
D4U3D3s�K)^属性可添加,以下一个属性必须赋值:
.]�s�O�k�V�m7Y�N)_0objectclass=person (值为:person 或 server 或 organization 或 其他自定义的值)
IXPUB技术博客�T�n�p�x�W!y9@+oIXPUB技术博客!K�o�D�B�U-a)z�?�W:{�k�I+Z2 Php如何操作LDAP
*K�U�M }�p�X�Q1I02.1 Php如何与LDAP连接和关闭
IXPUB技术博客&P�X�L#[�k4f3{,]%f.A;\$ds=ldap_connect("ServerName")
IXPUB技术博客�H�J�`�{'D�B1d�s%o
F�@ServerName是LDAP的服务器名,
IXPUB技术博客0|%s7h�N�u E�K�]�m.w$}#H�l0例:
IXPUB技术博客�h%O�e%s�H's$ds=ldap_connect(“10.31.172.30:1000”)
1u�D#b%?�X�Y!S0返回值是:true 或 false
IXPUB技术博客-x3k%v�W�W%T9|�k3b
j�o&U%M�Z�k0关闭连接
9G&r:L%{&_0ldap_close($ds);
IXPUB技术博客2Q�F$y6k�x�]!QIXPUB技术博客�h;T$i�b�{5X
[2.2 在php中如何搜索用户信息
J
D�`�n�V�c(s0�[8H�y�I�]�P�I�B$K�x�P0$ds=ldap_connect("10.31.172.30:1000");
*\�X9U�Q�Y Z9[0//首先连接上服务器
IXPUB技术博客�l(H'}�a2d�F*A h�l$justthese = array("cn","userpassword",”location”);
:C�\�U&M3~1t�R7Q�g'`�E0//搜索函数中的一个参数,要求返回哪些信息,
IXPUB技术博客�p&J�P�^�D//以上传回cn,userpassword,location,这些都要求小写
IXPUB技术博客3\
t
?:w�G�u�Y$sr=ldap_search($ds,"o=jite", "cn=dom*",$justthese);
IXPUB技术博客�P:a�[
C�i�C//第一个参数开启LDAP的代号
6q�Y [�|�W�D;c,Q0//第二个参数最基本的 dn 条件值 , 例:”o=jite,c=cn”
�})V�C�M�f�|�[0//第三个参数 filter 为布林条件,它的语法可以在 Netscape 站上找一份 dirsdkpg.pdf 档案.
IXPUB技术博客&U+z @$F�F4O�}�T// ’o’为组织名,’cn’ 为用户名,用户名可用通配符 ’*’
;\�w�v2~�F�A4m0echo "domadmin姓氏有".ldap_count_entries($ds,$sr)." 个<p>";
�H�p�l!G
a8T3B�K;x�t�]�y�F0//ldap_count_entries($ds,$sr)传回记录总数
z,N&}�T5z*E�G�h0;o�Y�X6e�Q�C"j!\0$info = ldap_get_entries($ds, $sr);
�D�{�?0\�\�o�b0//LDAP的全部传回资料
*w�L5H�T,o)d0echo "资料传回 ".$info["count"]."笔:<p>";
IXPUB技术博客�M�D-D0|�f.|"N7Zfor ($i=0; $i<$info["count"]; $i++) {
7O7|)\$~(J)e6N0echo "dn为:". $info[$i]["dn"] ."<br>";
IXPUB技术博客"z
u�^8p+~echo "cn为:". $info[$i]["cn"][0] ."<br>"; //显示用户名
IXPUB技术博客�{
`�K(]&k#\)a.l5\�R5T5Hecho "email为:". $info[$i]["mail"][0] ."<p>"; //显示mail
�I-@�m�P8N R�]4r�V9_(N I0echo "email为:". $info[$i][“userpassword"][0] ."<p>"; //显示加密后的密码
IXPUB技术博客1\�k0x�U�Q�e}
IXPUB技术博客�I�`�n+t5|�Q�T�C2.3 添加用户
IXPUB技术博客�o%{#p4C�u$ds=ldap_connect("10.31.172.30:1000");
IXPUB技术博客�y�Y�H3}�v//首先连接上服务器
�B�X%i)w�u�d�E0$r=ldap_bind($ds,"cn=domadmin,o=jite","password");
IXPUB技术博客�?�F�k4_&C$O&`//系住一个
管理员,有写的权限
3i)\ \(c�|�D�g0// cn=domadmin,o=jite顺序不能变
�M�S�X'\#F0$info["cn"]="aaa"; //必填
IXPUB技术博客
a7n!f!U�k�u�J�l G�@$info["userpassword"]="aaa";
�u�_'R:~
Z�z4e/q�Y;{0$info["location"]="shanghai";
IXPUB技术博客#D�y�y�O�@0~5^#M�|�k$info["objectclass"] = "person"; //必填person为个人,还有server…
*u�}�Z�i�x�{0ldap_add($ds, "cn=".$info["cn"].",o=jite", $info);
IXPUB技术博客�n�N!M
T-t-^ldap_unbind($ds);
IXPUB技术博客�_�_&A:y�]/n(b//取消绑定
IXPUB技术博客1N�z w�e�T�N�x'\�k-ildap_close($ds);
IXPUB技术博客1v0n0Y'\�R9@"L/e y3A//关闭连接
IXPUB技术博客!Z3f,X
E;g�U�n�Y
L2.4 删除用户
�R0d5]�`�Q�X�f0$ds=ldap_connect("10.31.172.30:1000");
IXPUB技术博客�X,`
Q&w�G
h4?//首先连接上服务器
IXPUB技术博客9k�I)h [�|�u5_;|�P/L�N8sldap_bind($ds,"cn=domadmin,o=jite","password");
IXPUB技术博客#v:C1I�N F�Z�f//绑定管理员,有删除的权限
�`9A6b*s�_�R-X�w�p0$dn="cn=dingxf,o=jite";
�M,T&W5D�[�\�q�G�X0ldap_delete($ds, $dn);
IXPUB技术博客�\�|�D1F
|�o�Y//删除用户
IXPUB技术博客7r�y+h�z-l�S+Q�w.Bldap_unbind($ds);
'd�Q+Z$P%~�H I�U
e0//取消绑定
IXPUB技术博客"`,|4Z�s'z1Eldap_close($ds);
�W�h�X�m�S�v�M�Y&n0//关闭连接
IXPUB技术博客#\.v�~5~�I7Y�y9f2.5 修改用户资料
�?;|8g�n�t5Y�]�K0$ds=ldap_connect("10.31.172.30:1000");
IXPUB技术博客�U6r,}:p�R//首先连接上服务器
�~6i�R g'C�l�F�d�Z;d2O7M0ldap_bind($ds,"cn=domadmin,o=jite","password");
IXPUB技术博客:U�m�e8H�u"i:[//绑定管理员,有修改的权限
IXPUB技术博客�n�D;r6O3X/G�P;}�b$dn="cn=dingxf,o=jite";
IXPUB技术博客�P.j�N�[([�B�u�L//用户dn
8h�_5I�W5p8R8z1J3o�V,d;D0$info["userpassword"]="aaa"; //要修改的信息,放在数组变量中
�?-~#U�_�^(L5x4F0$info["location"]="shanghaisdaf";
�e�I#W�A�_-F8F0 r$K,I�F6l�N(`�R0ldap_modify($ds, $dn , $info);
IXPUB技术博客�{+g�w8q'U�_9f5}�S�\//修改函数
�W�G�w�P J5u.s2k0ldap_unbind($ds);
3H)]6i4X:{#c9U0//取消绑定
�E4f8c#R�O4|4Q*j�@!M0ldap_close($ds);
IXPUB技术博客6N�C*[�?�F//关闭连接
�X�W!q�j#s4F
U�h�K02.6 用户登录验证
k;O-D)i6e6n5]$P�_0$ds=ldap_connect("10.31.172.30:1000");
IXPUB技术博客5Y�W�i%j�j�H�T-L//首先连接上服务器
IXPUB技术博客�K�i(|.n�X�x�Q"L�sif (ldap_bind($ds,"cn=dingxf,o=jite","dingxf")){
�e�u�`%E�t�r�~0echo "验证通过";
IXPUB技术博客�w6~�n,?9_(j�^�?3D�r�W}else{
6{/B�x4j�?�e }0echo "验证不通过";
IXPUB技术博客3J�{&]9c B�H�m#p/k'`}
IXPUB技术博客�{�v�i�v m&R'f�X4Q�M�f�Qldap_unbind($ds);
IXPUB技术博客�R�R6M!t
e5k�P+Q�W�f//取消绑定
IXPUB技术博客�h7k
V�Z!I5H�b�J9g�l
jldap_close($ds);
IXPUB技术博客8Q'W q1k7N�{�\//关闭连接
7p!S/v,e�z�o0�C!~�Q�o8R�m�v7^5v"X�x0IXPUB技术博客�f8\�^ D#Z�e�p�Z8~�W�?;H
X�a0�p�F�~�q�L$o�{-s#T0注:此
方法比较简单,实用,它也有不足之处,如果不通过,ldap_bind()提示它自带的提示语:”Warning: LDAP: Unable to bind to server: Inappropriate authentication in /home/htdocs/jldl.net/ldap/test.php3 on line 16”
