NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Tp.HCM, Ngày___tháng___năm 2009
Giáo viên hướng dẫn
[Ký tên và ghi rõ họ tên]
1
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Tp.HCM, Ngày___tháng___năm 2009
Giáo viên phản biện
[Ký tên và ghi rõ họ tên]
2
LỜI CẢM ƠN
Để đánh giá kết quả học tập và có thêm nhiều hiểu biết trước khi rời ghế
nhà trường, chúng em đã có cơ hội làm khóa luận tốt nghiệp để học hỏi và tìm
hiểu kinh nghiệm. Được sự phân công của khoa Công Nghệ Thông Tin, từ ngày
09/03/2009 đến ngày 07/07/2009 chúng em được nhận đề tài khóa luận “Tìm hiểu
và ứng dụng của LDAP” với sự hướng dẫn của thầy Cái Phúc Thiên Khoa.
Đề tài khóa luận của chúng em chủ yếu là tìm hiểu về LDAP và ứng dụng
của nó, sử dụng OpenLDAP và cách ứng dụng của chúng trong thực tiễn. Trong
quá trình làm khóa luận chúng em được sự hướng dẫn nhiệt tình của Thầy Cái
Phúc Thiên Khoa và các thầy cô khoa Công Nghệ Thông Tin. Nhờ đó, qua thời
gian làm khóa luận chúng em được biết thêm nhiều vấn đề về mạng máy tính mà
nó sẽ hổ trợ tích cực cho chúng em trong công việc sau này.
Em xin chân thành cảm ơn thầy Cái Phúc Thiên Khoa và các thầy cô đã
nhiệt tình gúp đỡ chúng em trong quá làm khóa luận.
Em xin chân thành cảm ơn các thầy cô khoa công nghệ thông tin đã tạo
điều kiện cho chúng em hoàn thành tốt khóa luận tốt nghiệp này.
3
Mục Lục
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN .................................................. 1
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ..................................................... 2
LỜI CẢM ƠN......................................................................................................... 3
Chương I: TỔNG QUAN KHÓA LUẬN............................................................. 9
1.
Nghiên cứu thực tiễn................................................................................... 9
2.
Mục tiêu đề tài ............................................................................................. 9
3.
Phương pháp tiếp cận và hướng giải quyết vấn đề.................................. 9
4.
Tóm tắt khóa luận:.................................................................................... 10
4.1 TÌM HIỂU GIAO THỨC LDAP ....................................................................... 10
4.2 TÌM HIỂU ACTIVE DIRECTORY .................................................................. 10
4.3 TÌM HIỂU OPENLDAP.................................................................................... 10
4.4 SAMBA DOMAIN CHỨNG THỰC BẰNG LDAP......................................... 10
o
5.
Phạm vi và giới hạn của đề tài ................................................................. 11
6.
Kết quả đạt được....................................................................................... 11
Chương II: TÌM HIỂU LDAP.................................................................... 12
1. Tổng quan về LDAP..................................................................................... 12
2. Phương thức hoạt động của LDAP............................................................. 13
3. Các mô hình LDAP ...................................................................................... 16
3.1 Mô hình LDAP Information .................................................................... 16
3.2 Mô hình LDAP Naming .......................................................................... 18
3.3 Mô hình LDAP Security.......................................................................... 19
3.4 Mô hình LDAP Function ......................................................................... 20
4. Một số dịch vụ sử dụng giao thức LDAP ................................................... 20
4
Chương III: TÌM HIỂU ACTIVE DIRECTORY ............................................ 23
Giới thiệu........................................................................................................... 23
1. Workgroup ................................................................................................. 23
2. Domain ...................................................................................................... 24
3. Active Directory (AD)............................................................................... 25
4. Directory Services ..................................................................................... 28
Các thành phần................................................................................................. 28
4.1 Object (đối tượng) ................................................................................... 28
4.2 Attribute (thuộc tính) ............................................................................... 29
4.3 Schema (cấu trúc tổ chức) ....................................................................... 29
4.4 Container (vật chứa) ................................................................................ 29
4.5 Global Catalog ......................................................................................... 30
4.6 Objects class ............................................................................................ 31
4.7 Domain .................................................................................................... 32
4.8 Domain tree ............................................................................................. 33
Chương IV: Tìm hiểu OPENLDAP ................................................................... 36
1. Tổng quan Bekerley DB............................................................................... 36
2. Tổng quan OPENLDAP .............................................................................. 43
Cài đặt Berkeley DB...................................................................................... 44
Cài đặt Openldap ........................................................................................... 45
2.1 Kiểm tra hoạt động của OpenLDAP........................................................ 51
2.2 Cấu hình kiểm tra username/password bằng OPENLDAP ..................... 57
2.3 Cấu hình LDAP client ............................................................................. 62
Chương V: DỊCH VỤ SAMBA DOMAIN CHỨNG THỰC BẰNG GIAO
THỨC LDAP ........................................................................................................ 67
1. Giới thiệu dịch vụ Samba ............................................................................ 67
5
2. Cấu hình Samba Domain chứng thực bằng giao thức LDAP .................. 68
Chương VI: HỆ THỐNG MAIL CHỨNG THỰC BẰNG GIAO THỨC
LDAP..................................................................................................................... 84
1. Giới thiệu Mail server MDaemon ............................................................... 84
2. Cấu hình LDAP trên MDaemon ................................................................. 85
2.1 LDaemon ................................................................................................. 86
2.2 Mail server MDaemon và OpenLDAP Server ........................................ 93
3. Cấu hình Outlook Express sử dụng giao thức LDAP ............................... 98
Chương VII: MÔ HÌNH ỨNG DỤNG GIAO THỨC LDAP ....................... 102
1. Sơ lược mô hình .......................................................................................... 102
2. Cơ chế quản lý mạng tập trung theo mô hình ......................................... 103
3. Vài nhận xét ................................................................................................ 103
4. Cách hiện thực ............................................................................................ 104
Chương VIII: KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN........... 105
1. Kết quả đạt được ........................................................................................ 105
1.1 Việc làm được:....................................................................................... 105
1.2 Việc chưa làm được:............................................................................. 105
2. Hướng phát triển ........................................................................................ 105
Phụ lục: ............................................................................................................... 106
Acroynms ........................................................................................................ 106
Tài liệu tham khảo.......................................................................................... 107
6
ĐỀ CƯƠNG CHI TIẾT
Tên Đề Tài:
TÌM HIỂU VÀ ỨNG DỤNG CỦA LDAP
Giáo viên hướng dẫn: CÁI PHÚC THIÊN KHOA
Thời gian thực hiện: 09/03/2009 21/06/2009
Sinh viên thực hiện:
HUỲNH THANH LIÊM
MSSV: 206205324
VÕ LINH ĐA
MSSV: 206205026
Loại đề tài: Nghiên cứu ứng dụng
Nội Dung Đề Tài: Tìm hiểu và ứng dụng LDAP để thực hiện authentication và
authorization.
Tìm hiểu khái niệm LDAP và Active Directory.
Tìm hiểu OpenLDAP trong việc hiện thực LDAP.
Tìm hiểu cách thức cài đặt và cấu hình OpenLDAP để quản trị tập trung tài
nguyên(Users, Computers, Profiles…) trên nền Linux.
Triển khai mô hình mạng nhỏ có ứng dụng LDAP cho yêu cầu chứng thực và
quản lý thông tin tập trung.
Kế hoạch thực hiện:
Tuần 1 + 2: Tìm hiểu LDAP
LDAP là gì ?
Directory service
7
Cách thức LDAP hoạt động
Tuần 3 + 4: Tìm hiểu Active Directory của Windows.
Mô hình mạng Workgroup và Domain
Một số khái niệm cơ bản trong Active Directory
Đối chiếu với OPENLDAP
Tuần 5 + 6 + 7: Tìm hiểu phần mềm OPENLDAP
Tìm hiểu phần mềm OPENLDAP
Download phần mềm OPENLDAP và BerkeleyDB
Cách thức “build” OPENLDAP và BerkeleyDB từ source code
Cài đặt OPENLDAP và BerkeleyDB trên Linux Fedora
Tuần 8 + 9 + 10 + 11: Tìm hiểu cách cấu hình OPENLDAP để quản trị tập trung tài
nguyên (Users, Computers, Profiles …) trên Linux
Tìm hiểu cách cấu hình OPENLDAP để thực hiện authentication và authorisation
Tuần 12 + 13 + 14 + 15: Triển khai mô hình dạng nhỏ có ứng dung LDAP cho yêu cầu
chứng thực và quản lý thông tin tập trung
Thiết kế sơ đồ mạng (logical topology, IP/Subnet,servers, clients..)
Triển khai OPENLDAP trong mô hình mạng
Cấu hình và kiểm tra kết quả: quản lý và chứng thực
Lập tài liệu ( Sơ đồ, IP/subnet, cách cấu hình, file cấu hình,…)
Xác nhận của GVHD
Ngày……tháng……năm……
SV Thực hiện
8
Chương I: TỔNG QUAN KHÓA LUẬN
1. Nghiên cứu thực tiễn
Trong môi trường máy tính mạng thì việc cấp phát và quản lý account là
một việc không hoàn toàn đơn giản. Nếu tất cả các máy tính không nối mạng với
nhau và mỗi một nhân viên đều chỉ đơn thuần sử dụng một máy tính cụ thể thì mọi
việc sẽ trở nên tầm thường. Tuy nhiên, trong điều kiện làm việc ngày nay thì hầu
hết các máy tính đều được nối mạng và nhu cầu đặt ra là mỗi người nhân viên có
thể cơ động làm việc ở các máy khác nhau đã khiến cho việc quản lý đăng nhập
tập trung trở nên cầp thiết.
Giải pháp cho vấn đề này là tạo tất cả các account trên một máy để mọi
người có thể linh động làm việc ở bất cứ máy nào. Và LDAP là giao thức dùng để
quản lý tập trung và chứng thực tài khoản người dùng và nguyên trên mạng.
2. Mục tiêu đề tài
o Tìm hiểu và ứng dụng của giao thức LDAP.
o Tìm hiểu Active Directory trên Windows.
o Tìm hiểu phần mềm OPENLDAP trong việc thực thi LDAP.
o Thiết lập một mô hình nhỏ ứng dụng giao thức LDAP để lưu trữ tập
trung tài khoản người dùng, tài nguyên trên mạng.
3. Phương pháp tiếp cận và hướng giải quyết vấn đề
o Nghiên cứu và ứng dụng của giao thức LDAP.
o Tìm hiểu các dịch vụ ứng dụng LDAP.
o Kết hợp với kiến thức đã học để định hướng giải quyết vấn đề đã đặt
ra và mở rộng
.
9
4. Tóm tắt khóa luận:
4.1 TÌM HIỂU GIAO THỨC LDAP
Tổng quan về giao thức LDAP
Phương thức hoạt động của LDAP
Các mô hình LDAP
Một số dịch vụ sử dụng giao thức LDAP
4.2 TÌM HIỂU ACTIVE DIRECTORY
Workgroup – Domain
Active Directory
Directory Service
4.3 TÌM HIỂU OPENLDAP
Tổng quan OpenLDAP – Berkeley DB
Cài đặt – Cấu hình OpenLDAP
Kiểm tra hoạt động của OpenLDAP
4.4 SAMBA DOMAIN CHỨNG THỰC BẰNG LDAP
Dịch vụ SAMBA
Cấu hình SAMBA chứng thực bằng LDAP
4.5 MAIL SERVER CHỨNG THỰC BẰNG GIAO THỨC LDAP
Mail Server MDaemon
Cấu hình LDAP trên Mdaemon
Cấu hình Outlook Express sử dụng LDAP
4.6 THIẾT LẬP MÔ HÌNH NHỎ ỨNG DỤNG GIAO THỨC LDAP
Sơ lược mô hình mạng
10
Cơ chế quản lý tập trung
Nhận xét
Cách thực hiện
4.7 KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN
Kết quả đạt được.
Hướng phát triển trong tương lai.
5. Phạm vi và giới hạn của đề tài
o Tìm hiểu khái niệm LDAP và Active Directory.
o Tìm hiểu OpenLDAP trong việc hiện thực LDAP.
o Tìm hiểu cách thức cài đặt và cấu hình OpenLDAP để lưu trữ tập
trung tài nguyên trên mạng.
o Triển khai mô hình mạng nhỏ có ứng dụng LDAP cho yêu cầu
chứng thực và quản lý thông tin tập trung
6. Kết quả đạt được
o Tìm hiểu và ứng dụng LDAP.
o Cài đặt OpenLDAP server phục vụ cho việc lưu trữ tập trung tài
khoản người dùng và tài nguyên trên mạng.
o Kết hợp OpenLDAP với dịch vụ Samba Domain.
o Dùng OpenLDAP lưu danh bạ cho Mail server MDaemon.
Hướng phát triển trong tương lai:
o Cố gắng khắc phục những hạn chế chưa thực hiện được.
o Xây dựng một OpenLDAP server để Backup dữ lệu, phòng khi
Server gặp sự cố.
o Kết hợp OpenLDAP với các dịch vụ khác.
11
Chương II: TÌM HIỂU LDAP
1. Tổng quan về LDAP
LDAP (Lightweight Directory Access Protocol) là một chuẩn mở rộng cho
giao thức truy cập thư mục, hay là một ngôn ngữ để LDAP client và severs sử
dụng để giao tiếp với nhau, LDAP chạy trên TCP/IP hoặc kết nối khác theo định
hướng chuyển giao dịch vụ, được định nghĩa trong RFC 2251 “The Lightweight
Directory Access Protocol”.
Bản chất của LDAP là một phần của dịch vụ thư mục X.500. LDAP là một
giao thức “lightweight ” có nghĩa đây là một giao thức có tính hiệu quả, đơn giản
và dễ dàng để cài đặt. Điều này trái ngược với giao thức “heavyweight” như giao
thức truy cập thư mục X.500 (DAP_Directory Access Control ), giao thức này sử
dụng các phương thức mã hoá quá phức tạp. LDAP là giao thức thuộc tầng ứng
dụng của mô hình OSI, sử dụng các tập các phương thức đơn giản.
LDAP đã phát triển với phiên bản LDAP v2 được định nghĩa trong chuẩn
RFC 1777 và 1778, và LDAP v3 là một phần trong chuẩn Internet, được định
nghĩa trong RFC 2251 cho đến RFC 2256, do chúng quá mới nên không phải tất
cả mọi thứ các nhà cung cấp hỗ trợ hoàn toàn cho LDAP v3.
LDAPv3 hoạt động và cung cấp một mô hình đơn giản cho người lập trình
và quản trị hệ thống. Việc cung cấp một tập các hoạt động nhỏ hơn và đơn giản
hơn cho phép người phát triển tập trung vào những ngữ nghĩa của chương trình mà
không cần phải hiểu những giao thức đặc trưng mà ít khi được dùng đến. Theo đó,
người thiết kế LDAP hi vọng rằng sẽ tạo ra được sự đón nhận nhiều hơn nữa bằng
cách cung cấp những phát triển ứng dụng đơn giản hơn.
Ngoài vai trò như là một giao thức mạng, LDAP còn định nghĩa bốn mô
hình, các mô hình này cho phép linh động trong việc sắp đặt các thư mục:
12
o Mô hình LDAP information - định nghĩa ra các loại dữ liệu cần đặt vào thư
mục.
o Mô hình LDAP Naming - định nghĩa ra cách sắp xếp và tham chiếu đến thư
mục.
o Mô hình LDAP Functional - định nghĩa cách truy cập và cập nhật thông tin
trong thư mục của bạn.
o Mô hình LDAP Security - định nghĩa ra cách thông tin trong trong thư mục
của bạn được bảo vệ tránh các truy cập không được phép.
Ngoài các mô hình ra LDAP còn định nghĩa ra khuôn dạng để trao đổi dữ liệu
LDIF (LDAP Data Interchange Format) ở dạng văn bản dùng để mô tả thông
tin về thư mục. LDIF còn có thể mô tả một tập hợp các thư mục hay các cập
nhật có thể được áp dụng trên thư mục.
2. Phương thức hoạt động của LDAP
LDAP là một nghi thức client/server
Là một mô hình giao thức giữa một chương trình client chạy trên một máy
tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang chạy một chương
trình server, chương trình server này nhận lấy yêu cầu và sau đó nó thực hiện trả
lại kết quả cho chương trình client. Ví dụ giao thức client/server là giao thức
truyền siêu văn bản (Hypertext transfer protocol) viết tắt là HTTP, giao thức này
có những ứng dụng rộng rãi phục vụ những trang web. Và giao thức Internet
Message Access Protocol (IMAP), là một nghi thức sử dụng để truy cập đến các
thư thông báo điện tử.
Ý tưởng cơ bản của giao thức client/server là công việc được gán cho
những máy tính đã được tối ưu hoá để thực hiện công việc đó. Ví dụ một máy
LDAP server có rất nhiều RAM (bộ nhớ) dùng để lưu trữ nội dung các thư mục
cho các thao tác thực thi nhanh và server này cũng cần đĩa cứng và các bộ vi sử lý
ở tốc độ cao.
13
LDAP là một giao thức hướng thông điệp
Do client và sever giao tiếp thông qua các thông điệp, Client tạo một thông
điệp (LDAP message) chứa yêu cầu và gởi đến cho server. Server nhận được
thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một
thông điệp LDAP.
Ví dụ: Khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm
kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả
cho client trong một thông điệp LDAP.
Hình 1.1: Một thao tác tìm kiếm cơ bản
Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết
quả này được gởi đến client bằng nhiều thông điệp.
Hình 1.2: Những thông điệp client gởi cho server
14
Do nghi thức LDAP là nghi thức thông điệp nên client được phép phát ra
nhiều thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng
để phân biệt các yêu cầu của client và kết quả trả về của server.
Hình 1.3: Nhiều kết quả tìm kết đượcc trả về
Việc cho phép nhiều thông điệp cùng sử lý đồng thời làm cho LDAP linh
động hơn các nghi thức khác ví dụ như HTTP, với mỗi yêu cầu từ client phải được
trả lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là
Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện
mở từng kết nối cho từng file, LDAP thực hiện theo cách hoàn toàn khác, quản lý
tất cả thao tác trên một kết nối.
Hình 1.4: Mô hình kết nối giữa client/server
15
LDAP client và server thực hiện theo các bước sau:
o Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác
bind. Thao tác bind bao gồm tên của một directory entry ,và uỷ nhiệm thư
sẽ được sử dụng trong quá trình xác thực, ủy nhiệm thư thông thường là
pasword nhưng cũng có thể là chứng chỉ điện tử dùng để xác thực client.
o Sau khi thư mục có được sự xác định của thao tác bind, kết quả của hao tác
bind được trả về cho client.
o Client gởi đi các yêu cầu tìm kiếm.
o Server thực hiện xử lý và trả về kết quả cho client.
o Server gởi thông điệp kết thúc việc tìm kiếm.
o Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn
huỷ bỏ kết nối.
o Server đóng kết nối.
3. Các mô hình LDAP
LDAP định nghĩa ra 4 mô hình gồm có:
o LDAP information
o LDAP Naming
o LDAP Functional
o LDAP Security.
3.1 Mô hình LDAP Information
Mô hình LDAP Information định nghĩa ra các kiểu của dữ liệu và các thành
phần cơ bản của thông tin mà bạn có thể chứa trong thư mục. Hay chúng ta có thể
nói rằng LDAP Information mô tả cách xây dựng ra các khối dữ liệu mà chúng ta
có thể sử dụng để tạo ra thư mục.
Thành phần cơ bản của thông tin trong một thư mục gọi là entry, đây là một
tập hợp chứa các thông tin về đối tượng (Object). Thường thì các thông tin trong
16
một entry mô tả một đối tượng thật như là thông tin về người, nhưng đây không
phải là qui định bắt buộc với mô hình. Ví dụ như trên thư mục dưới đây.
Hình 1.5: Một cây thư mục với các entry là các thành phần cơ bản
LDAP thường phân chia theo O (Organisation - tổ chức) và các OU
(Organisation Unit - phân bộ). Trong các OU có thể có những OU con và trong
các OU có các CN (Common Name), những nhóm giá trị này thường được gọi là
DN (Distinguished Name - tên gọi phân biệt). Mỗi giá trị chứa trong LDAP thuộc
dạng tên: giá trị, thường được gọi là LDAP Attribute (viết tắt là attr, mỗi attr được
nhận diện như một LDAP Object).
Những điểm ở trên hình thành một cái gọi là LDAP schema và có tiêu
chuẩn thống nhất giữa các ứng dụng phát triển LDAP. Đây là lý do LDAP được ưa
chuộng cho công tác lưu trữ và tích hợp với các tính năng authentication authorisation vì chúng có thể được dùng giữa các LDAP system miễn sao các hệ
thống đó tuân thủ đúng tiêu chuẩn chung.
Một entry là tập hợp của các thuộc tính, từng thuộc tính này mô tả một nét
đặt trưng tiêu biểu của một đối tượng. Mỗi thuộc tính có kiểu một hay nhiều giá
trị, kiểu của thuộc tính mô tả loại thông tin được chứa, giá trị là dữ liệu thực sự.
17
Ví dụ một entry mô tả một người với các thuộc tính: tên họ, tên, số điện
thoại, và địa chỉ email.
Hình 1.6: Một entry với các thuôc tính cơ bản
3.2 Mô hình LDAP Naming
Mô hình LDAP Naming định nghĩa ra cách để chúng ta có thể sắp xếp và
tham chiếu đến dữ liệu của mình. Hay chúng ta có thể nói rằng mô hình này mô tả
cách sắp xếp các entry của chúng vào một cấu trúc có logical, và mô hình LDAP
Naming chỉ ra cách để chúng ta có thể tham chiếu đến bất kỳ một entry thư mục
nào nằm trong cấu trúc đó.
Mô hình LDAP Naming cho phép chúng ta có thể đặt dữ liệu vào thư mục
theo cách mà chúng ta có thể dễ dàng quản lý nhất. Ví dụ như chúng ta có thể tạo
ra một container (khái niệm vật thể chứa đựng) chứa tất cả các entry mô tả người
trong một tổ chức, và một container chứa tất cả các group của bạn, hoặc bạn có thể
thiết kế entry theo mô hình phân cấp theo cấu trúc tổ chức của bạn. Việc thiết kế
tốt cần phải có những nghiên cứu thoả đáng.
Hình 1.7: Một cây thư mục LDAP
18
Ví dụ:
Cây thư mục bao gồm các mục chứa (container entry) và các mục lá (leaf
object entry). Mục lá có thể là người, máy tính, máy in, và dung lượng lưu
trữ . Mỗi mục lá có một tên chung CN (common name). DN (distinguished
name) là tên xác định tất cả các mục chứa đựng tạo thành đường đi từ đầu
cây đến một mục lá nào đó.
Ví dụ trên như:
o cn=Barbara (thuộc lớp đối tượng Person)
o ou=Sales , ou=Marketing (thuộc lớp đối tượng Organization unit)
o o=Acme (Acme thuộc lớp đối tượng Organization)
o st=California (thuộc lớp state)
o c=US, c=GB (thuộc lớp đối tượng Country)
3.3 Mô hình LDAP Security
Vấn đề cuối cùng trong các mô hình LDAP là việc bảo vệ thông tin trong
thư mục khỏi các truy cập không được phép. Khi thực hiện thao tác bind dưới một
tên DN hay có thể client một người vô danh thì với mỗi user có một số quyền thao
tác trên entry thư mục. Và những quyền nào được entry chấp nhận tất cả những
19
điều trên gọi là truy cập điều kiển (access control). Hiện nay LDAP chưa định
nghĩa ra một mô hình Access Control, các điều kiển truy cập này được thiết lập
bởi các nhà quản trị hệ thống bằng các server software.
3.4 Mô hình LDAP Function
Đây là mô hình mô tả các thao tác cho phép trên thư mục. Mô hình LDAP
Functional chứa một tập các thao tác chia thành 3 nhóm.
o Thao tác thẩm tra (interrogation): search, compare cho phép bạn có thể
search trên thư mục và nhận dữ liệu từ thư mục.
o Thao tác cập nhật (update): add, delete, rename và thay đổi các entry thư
mục.
o Thao tác xác thực và điều kiển(authentiaction and control): bind, unbind,
abandon cho phép client xác định mình đến cho thư mục và điều kiển các
hoạt động của phiên kết nối.
Với LDAPv3 ngoài 3 nhóm thao tác trên, còn có thao tác LDAP extended, thao
tác này cho phép giao thức LDAP sau này có thể mở rộng một cách có tổ chức và
không làm thay đổi đến giao thức.
4. Một số dịch vụ sử dụng giao thức LDAP
Bằng cách kết hợp các thao tác LDAP đơn giản này. Thư mục client có thể
thực hiện các thao tác phức tạp như các ví dụ sau:
Môt chương mail có thể thực hiện dùng chứng chỉ điện tử chứa trong thư
mục trên server LDAP để kí, bằng cách gởi yêu cầu tìm kiếm cho LDAP server,
LDAP server gởi lại cho client chứng chỉ điện tử của nó sau đó chương trình mail
dùng chứng chỉ điện tử để kí và gởi cho Message sever. Nhưng ở góc độ người
dùng thì tất cả quá trình trên đều hoạt động một cách tự động và người dùng
không phải quan tâm
20
- Xem thêm -