【TDS学习文档2】概念理解
作者:gnuhpc
出处:http://www.cnblogs.com/gnuhpc/
1.目录的定义:
一个目录指的是一个集合,这个集合记录着关于以层次结构组织的事物的信息。它是使用户或程序找到某个特定任务所需特征的资源的数据仓库。这个数据仓库有着和普遍意义上的关系型数据库区分开来的特点。那就是它被访问的频率远远高于被更新的频率。它在访问方面做了优化,而且对分布式访问也做了优化。它可以部署为集中式也可以布署为分布式。当它以分布式的形式进行布署的时候,每个目录服务器保留着唯一没有重复的信息子集。每个目录入口存储在一个且仅一个目录服务器中。
2.目录客户和服务器端
目录常常以C-S架构进行访问。请求访问信息的程序通过系统API进行访问。在C语言中有LDAP的API接口,在JAVA中称为Java Naming and Directory Interface (JNDI)。
3.目录安全
鉴权工作主要是通过access control lists (ACLs)来进行的。
一个ACL定义了一个或一组用户对目录访问的权限。为了简化ACL,往往对用户进行分组。
4.TDS的一些安全特点:
1)Identification 和 authentication
进行连接控制和鉴权
2)Simple Authentication and Security Layer
提供了额外的鉴权机制
3)The Secure Sockets Layer (SSL) and Transaction Layer Security (TLS)
提供数据和鉴权加密
4)Access control
进行访问控制,
5)Auditing
进行安全相关事件的审计,提供审计记录
5.TDS的五种安全角色
1)Primary directory administrator
它和某个特定用户相连接。在一个LDAP服务器上只有一个,并且它有绝对权限管理这个服务器。它在安装和配置时建立,其中包含一个用户ID、一个密码、一个预定义的操纵整个目录服务器的权限。
2)Administrative group members
它是一些被赋予管理权限的子集权限的用户。诸如:Password Administrator和Server Start/Stop Administrator就是这样的角色。
3)Global administrative group members
Global administrative group members是目录管理员在分布式环境中分发权限的一种方式。
4)LDAP user
LDAP user是由ACL确定权限的用户。一个LDAP用户被指定一个LDAP入口,其中包含鉴权信息。
5)Master server DN
主服务器的DN,用于在复制时用。
6.密码策略:
分为个人、组和全局密码策略。
7.DN
每一个目录的入口都有一个唯一的名字,这个名字就是distinguished name (DN),一个DN由attribute=value pairs这样的形式组成,之间由逗号隔开,例如:cn=Ben Gray,ou=editing,o=New York Times,c=US
任何在目录架构中定义的属性,但不是系统或受限属性,都可以被定义为DN。它们的顺序很重要。一个DN包含在目录层级结构中从根到最上层每一层上的一个 component。LDAP的DN从一个最有特定的属性开始,然后慢慢宽泛,DN的第一项往往被称为Relative Distinguished Name (RDN),它定义了一个可以区别于其他有着相同双亲的入口的特征。
分号可以用于分割RDN,一个值若是被双引号所围,则进行其中一些字符则将进行转义。
