Служба каталогов LDAP основывается на клиент-серверной модели. Один или несколько LDAP-серверов содержат данные, из которых и состоит дерево каталога. LDAP-клиент связывается с LDAP-сервером и передает запрос. Сервер, в свою очередь, либо дает ответ, либо указывает источник, из которого можно получить затребованную информацию (обычно это другой LDAP-сервер). Независимо от того, к какому LDAP-серверу подсоединяется клиент, структура каталога, которую он видит у себя, будет одинаковой; имя, представленное на одном LDAP-сервере, ссылается на точно такое же имя, имеющееся на другом сервере. Это чрезвычайно важное свойство для такой службы глобального каталога, как LDAP.
Основные различия между реализациями
LDAP 2 и LDAP 3
LDAP 3 отличает ряд усовершенствований, которые обеспечивают более эффективное внедрение модели доступа пользователя к Internet. В их число входят:
• Использование кодировки UTF-8, которая поддерживает расширенные наборы символов для всех строковых атрибутов текста.
• Наличие операционных атрибутов, используемых каталогом в своих собственных целях (например, для регистрации даты и времени изменения атрибута).
• Возможность переадресации клиента на другой сервер, на котором может содержаться запрашиваемая клиентом информация.
• Публикация схемы каталога, что позволяет клиенту отыскать, какие классы и атрибуты объекта поддерживаются сервером.
• Расширенные операции поиска, обеспечивающие страничное представление и сортировку результатов, а также определяемые самим клиентом средства управления поиском и сортировкой.
• Повышенная степень безопасности благодаря аутентификации, основанной на SASL (Single ASsignment Language - язык с однократным присваиванием значений переменным).
• Расширенные операции, обеспечивающие дополнительные возможности без изменения версии протокола.
LDAP 3 совместим с LDAP 2. Клиент LDAP 2 может подключаться к серверу LDAP 3 ( таково необходимое условие сервера). Однако, сервер LDAP 3 может предпочесть и не взаимодействовать с клиентом LDAP 2, если поддержка функций LDAP 3 критична для его приложений.
LDAP был разработан на основе стандартов Internet и описан в следующих RFC-документах:
• RFC 2251, "Lightweight Directory Access Protocol (v3)" ("Облегченный протокол службы каталогов (версия 3)").
• RFC 2255, "The LDAP URL Format" ("Формат LDAP URL-адреса").
• RFC 2256, "A Summary of the X.500(96) User Schema for use with LDAPv3" ("Краткое описание пользовательской схемы X.500(96) для применения с LDAPv3").
• RFC 2253, "Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names" ("Облегченный протокол службы каталогов (версия 3): строковое представление в коде UTF-8 отличительных имен").
• RFC 2254, "The String Representation of LDAP Search Filters" ("Строковое представление поисковых фильтров LDAP").
Использование служб Services for Unix для интеграции Unix-окружений с Exchange Server 2003
Помимо возможностей MIIS 2003 для синхронизации каталогов из Unix-систем, компания Microsoft предлагает еще целый набор инструментальных средств, поддерживающих операции данного рода. Эти средства известны под общим названием служб для Unix (Services for Unix - SFU) и включают в себя усовершенствованные функции, которые используются для интеграции Unix-систем в среду Exchange Server 2003. Окно служб Services for Unix показано на рис. 6.4.
Microsoft Exchange Server 2003. Основы функционирования LDAP
28-12-2009