tnq400 04 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
TNQ400-04 PowerPoint Presentation
Download Presentation
TNQ400-04

Loading in 2 Seconds...

play fullscreen
1 / 92

TNQ400-04 - PowerPoint PPT Presentation


  • 163 Views
  • Uploaded on

TNQ400-04. 理解 LDAP Srinivas Gazula 高级顾问 MCS ( 财务服务公司) Microsoft 公司. 理解本讲座所需必要条件. 关于目录概念的基础知识 本讲座的难度水平为300. 今天将要学到的内容. LDAP 基本原理 端口、参考资料、控制、 RootDSE 及管理查询策略等 帮助进行故障诊断并管理活动目录的 LDAP 工具 如何捕捉并解释各种 LDAP 错误. 今天不予讲授的内容. Microsoft ® 活动目录 ADSI 名字解析技术 计划管理工具 如何对 LDAP 客户进行编程. 何谓目录服务.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'TNQ400-04' - yehuda


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2

理解LDAP Srinivas Gazula高级顾问MCS (财务服务公司)Microsoft公司

slide3
理解本讲座所需必要条件
  • 关于目录概念的基础知识
  • 本讲座的难度水平为300
slide4
今天将要学到的内容
  • LDAP基本原理
  • 端口、参考资料、控制、RootDSE及管理查询策略等
  • 帮助进行故障诊断并管理活动目录的LDAP工具
  • 如何捕捉并解释各种LDAP错误
slide5
今天不予讲授的内容
  • Microsoft®活动目录
  • ADSI
  • 名字解析技术
  • 计划管理工具
  • 如何对LDAP客户进行编程
slide6
何谓目录服务
  • 一种在分布式环境中发现目标的方法
  • 目录包括两个主要组成部分:
    • 数据库
      • 规划—用来描述数据
      • 分布式存在
    • 协议
      • 访问数据
      • 处理数据
slide7
目录服务与数据库
  • 二者有许多共同点
    • 均允许对存储数据进行访问
  • 目录服务  数据库
    • 目录主要用于读取
    • 目录不适于进行频繁的更新
    • 本质上属于典型的分布式结构
slide8
何谓LDAP
  • 一种目录服务协议
    • LDAPv2 – RFC 1777  1995年3月
    • LDAPv3 – RFC 2251  1997年12月
  • LDAP在四个方面有过人之处:
    • 特性
    • 标准 – IETF标准
    • 实现工具
    • 应用程序编程接口(API)
ldap x 500
LDAP简化了X.500
  • 90%的功能,10%的成本!
  • 传输
    • LDAP直接运行于IP之上:TCP或UDP
  • 功能
    • 通过排除低级使用特性来简化X.500的功能
  • 数据表示法
    • LDAP使用简单的字符串格式
  • 编码
    • LDAP使用简化的编码规则
slide10
LDAP的模式
  • 信息模式
    • 描述信息结构
  • 命名模式
    • 信息的组织和调用的方式
  • 功能模式
    • 信息的用途
  • 安全模式
    • 如何保护信息
slide11
信息模式
  • 源于X.500
    • 用于创建企业级目录的ISO/CCITT (ITU) 技术规范
  • 目录信息树 – DIT
    • 由一或多个LDAP服务器提供的访问
    • 由若干条目构成
  • DSA – 目录服务器代理
slide12
信息模式什么是规划?
  • 模板 / DIT的蓝图
    • 抽象类 – 结构类的模板
    • 结构类 – 在DSA中拥有实例
    • 辅助类 – 如同一个内建的属性文件
    • 88类 – 在1993年版的X.500标准之前即已被定义
  • 属性
    • 对象保有信息的类型
  • 语法
    • 为属性决定数据类型
slide13
信息模式
  • 条目(容器或叶结点)
    • 源自结构类
    • MSFT将条目视为对象
  • 条目所包含的属性(通常被MSFT称为属性)
    • 容器和叶结点均拥有属性
    • 属性值 – 单值或多值
slide14
信息模式
  • GUID – 128位的全局唯一标识符
    • 在时间和空间上都是独一无二的
  • OID – 对象标识符
    • 标识一个类或属性
    • 1.2.840 - USA
    • 1.2.840.113556 – MSFT OID
    • 1.2.840.113556.1 – MSFT DS
    • 1.2.840.113556.1.5 – NTDS类
  • 类型 – 语法
    • RFC 2252 – LDAPv3属性语法定义
    • 用OID来定义
    • 举例 – DN、二进制数、数字串、UTC时间
slide15

类型

单值

多值

强制属性

在规划中定义

可选属性

操作属性

条目(对象)剖析

条目

slide17
命名模式相对识别名称(RDN)
  • 在容器中是唯一的
    • <rdn> :== <rdncomp> | <rdncomp> <rdnsep> <rdn>
    • <rdnsep> :== ‘+’
    • <rdncomp> :== <attr> ‘=‘ <value>
    • <attr> :== 一个LDAP属性类型(cn, dc, …)
    • <value> :== 一个LDAP属性值
  • 举例
    • cn=rthom
    • dc=microsoft
    • ou=pss
slide18
命名模式识别名称(DN)
  • RFC 1779 识别名称的字串表示法
    • <dn> :== <rdn> | <rdn> <dnsep> <dn>
    • <dnsep> :== ‘,’ | ‘:’
  • 条目在DIT范围内根据其DN进行组织安排
  • 类似于文件系统中具有完整路径的文件名
  • 举例
    • cn=rthom,ou=pss,dc=microsoft,dc=com
slide21
功能模式

三个方面的九种操作

  • 认证:打开、绑定、拆分
  • 询问:搜索/比较
  • 更新:添加、删除、修改、修改RDN
slide22
功能模式认证
  • 打开
    • 打开一个通往DSA的连接
  • 绑定
    • 将客户认证至DSA
    • 认证方法 – LDAPv3
  • 拆分
    • 终结用户/服务器会话
slide24
功能模式·询问
  • 搜索
    • 从DIT中选择条目
    • 为每个条目返回特定属性
    • 参数
      • 基本对象
      • 范围
      • 搜索过滤器
      • 属性
  • 比较
    • 判定一个条目是否包含具有特定值的给定属性
    • 布尔型返回值
slide25

基本对象

1

OU=demo,DC=mycompany,DC=Com

DC=mycompany,DC=Com

范围

2

OU=Demo

基本、一级、子树

搜索过滤器

3

(objectClass=*), User, Computer

返回属性

4

cn, sn, userPrincipalName

功能模式·询问搜索组件
slide26
功能模式·询问搜索 – 基本对象
  • 定义搜索起始点的DN
  • DIT中的一个结点
  • 举例:
    • dc=mydomain,dc=com
    • ou=demo,dc=mydomain,dc=com
slide29
功能模式·询问搜索 – 基本搜索过滤器类型
  • 等式
    • <attr>=<value>
    • (sn=Dan)
  • 近似
    • <attr>~=<value>
    • (sn~=Dann)
  • 子串
    • <attr>=[<leading>] * [<any>] * [<trailing>]
    • (sn=Da*)
slide30
功能模式·询问搜索 – 基本搜索过滤器类型
  • 大于等于
    • <attr>>=<value>
    • (sn>=Dan)
  • 小于等于
    • <attr><=<value>
    • (sn<=Dan)
  • 当前默认
    • <attr>=*
    • (objectClass=*)
slide31
功能模式·询问搜索 – 复杂搜索过滤器类型
    • (& (<filter1>) (<filter2>))
    • (& (objectClass=user) (sn=Dan)
    • (| (<filter1>) (<filter2>))
    • (| (sn=Dan) (sn=T*)
    • (!(<filter1>))
    • (!(sn=Dan))
slide33
功能模式·询问搜索 – 属性
  • 由DSA返回的属性列表
  • 举例
    • *
      • 全部属性
    • LDAP-显示-名称
      • Cn, Sn, UserPrincipalName, objectClass
    • 属性的OID
      • 1.1 不返回属性
      • 2.5.4.3 返回CN
slide35
功能模式·询问比较
  • 用于就对象属性的存在及其赋值进行校验
  • 所需参数包括:
    • 对象的DN
    • 需要进行赋值检验的属性
    • 属性的值
    • 返回“真”或“假”(布尔型)
slide38

基本对象

1

OU=demo,DC=mycompany,DC=Com

DC=mycompany,DC=Com

范围

2

OU=Demo

基本、一级、子树

搜索过滤器

3

(objectClass=*), User, Computer

返回属性

4

cn, sn, userPrincipalName

功能模式·询问回顾搜索组件
slide39
功能模式·更新四项基本功能
  • 添加
    • 在DIT中创建新的条目
  • 修改
    • 改变现有条目的属性
  • 修改RDN
    • 对DIT中的条目进行重命名
  • 删除
    • 从DIT中删除一个条目
slide40
功能模式·更新添加
  • 两个参数
    • DN
    • 属性及属性值
  • 成功关键:
    • 父对象必须以容器形式存在
    • DN必须唯一
    • 新对象必须与规划保持一致
    • 访问控制必须允许
slide42
功能模式·更新修改
  • 两个参数
    • 所需修改对象的DN
    • 所需应用的修改
      • 新属性值
      • 修改属性值
      • 删除属性值
  • 成功的关键:
    • 对象必须存在
    • 所有的属性修改必须成功
    • 结果条目必须在事实上遵循规划
    • 访问许可允许进行上述修改
slide44
功能模式·更新修改RDN
  • 四个参数
    • 所需修改对象的DN
    • 对象的新RDN
    • 新父对象的DN (可选)
    • 删除旧的RDN标识
  • 成功关键:
    • 对象必须存在
    • 新的DN必须唯一
    • 访问许可允许修改操作
slide46
功能模式·更新删除
  • 单一参数
    • 对象的DN
  • 成功的关键:
    • 对象必须存在
    • 对象不能拥有子对象
    • 访问许可允许进行删除操作
slide49
安全模式
  • 对认证机制进行洽商
  • 访问控制列表
    • 条目
    • 属性
  • 具有签名机制的LDAP
    • 通过Kerberos 会话键进行加密
    • MSFT所独有
slide51
LDAP概念
  • 端口号
  • 同步与异步
  • 导入/导出工具
  • LDAPv3
    • RootDSE
    • 管理查询策略
    • 参考与链锁
    • 控制
slide52
端口号
  • LDAP
    • 389
  • LDAP SSL
    • 636
  • 全局分类表 - GC
    • 3268
  • GC SSL
    • 3269
slide53
同步与异步
  • 同步
    • 除非所有的搜索结果均从给定的调用中返回,API将一直处于阻塞状态。
    • ldap_call_s()
  • 异步
    • 多重API调用会同时生成
    • 消息ID:
      • 在请求与响应之间进行对应关系识别
      • 对给定的会话来说是唯一的
slide55
导入导出工具
  • 重要导入/导出工具
    • LDIFDE
    • CSVDE
  • ADSI
    • Visual Basic® Scripting Edition
    • Perl Script
ldapv3 rootdse
LDAPv3 – RootDSE概述
  • 在LDAPv3中是定义的标准属性
  • 目录服务器的特定信息
    • 功能
    • 配置
  • 通过对根区进行基本对象搜索而获得
    • Filter :== (objectClass=*)
  • 资源
    • RFC 2251
    • Q219005 – Windows® 2000: LDAPv3 RootDSE
ldapv3 rootdse rfc
LDAPv3 – RootDSERFC的定义属性
  • namingContexts(命名上下文)
  • subschemaSubentry(子规划子条目)
  • altServer(替代服务器)
  • supportedExtensions(支持的扩展)
  • supportedControl(支持的控制)
  • supportedSASLMechanisms(支持的SASL机制)
  • supportedLDAPVersion(支持的LDAP版本)
ldapv3 rootdse msft
LDAPv3 – RootDSEMSFT定制属性
  • CurrentTime(当前时间)
  • dsServiceName(缺省服务名)
  • defaultNamingContext(缺省命名上下文)
  • schemaNamingContext(规划命名上下文)
  • configurationNamingContext(配置命名上下文)
  • supportedLDAPPolicies(支持的LDAP策略)
ldapv3 rootdse msft1
LDAPv3 – RootDSEMSFT定制属性
  • highestCommittedUSN(高级调用的USN)
  • dnsHostName (DNS主机名)
  • ldapServiceName (LDAP服务名)
  • serverName(服务器名)
  • SupportedCapabilites(支持的功能)
slide62
管理查询策略概述
  • 控制DSA行为的策略
  • Ntdsutil.exe
    • IP Deny列表
    • LDAP策略
  • ModifyLdap.vbs
    • 创建、修改或删除策略
    • 应用到网站或服务器
  • Q217773 – LDAP管理策略
slide63
管理查询策略属性值
  • MaxConnections(最大连接数) – 5000
  • InitRecvTimeout(起始接收时间上限) – 120秒
  • MaxConnIdleTime(最大连接等候时间) – 900秒
  • MaxActiveQueries(最大活动查询数) – 20
  • MaxNotificationPerConn(每个连接的最大标志信息数) – 5
  • MaxPageSize(最大页容量) – 1000
slide64
管理查询策略属性值
  • MaxQueryDuration(最大查询持续期间) – 120秒
  • MaxTempTableSize(最大临时表容量) – 10,000个对象
  • MaxResultsSetSize(最大查询结果容量) – 262,144字节
  • MaxPoolThreads(最大假脱机线程数) – 4
  • MaxDatagramRecv最大数据报接收量 - 1024
ldapv3
LDAPv3 – 参考“知识”
  • DSA对被视为知识的目录层次信息进行管理
  • DSA告知客户对象在名称空间中的位置
  • MSFT DSA知识来源于
    • 配置命名上下文
    • DNS名称空间
ldapv31
LDAPv3 – 活动参考

DIT

DSA

DSA

DSA

客户

x 500
X.500链锁

DIT

DSA

DSA

DSA

客户

ldapv32
LDAPv3 – 参考“知识参考”
  • 辅助参考 – 关于DSA下一个分区的知识
  • 前后参照 –关于存储在前后参照对象中的一个分区的知识
  • 高级参考 – DA在对搜索基础一无所知的情况下披露出的知识参考
ldapv33
LDAPv3 – 参考“前后参照”
  • 来源于CrossRef类
  • 两个必要的属性
    • nCname –被引证的目录分区标识名
    • dNSRoot –针对给定分区的DSA的DNS域名
  • 以两种方式创建:
    • 内部 – 通过系统创建
    • 外部 –由管理员通过参考外部森林对象信息创建
ldapv34
LDAPv3 – 控制
  • 扩展LDAP功能的方法
  • 基于服务器或客户机
  • 通过OID进行描述
  • Q222560 - LDAP控制
ldapv35
LDAPv3 – 控制
  • 树删除
    • 允许客户删除整个子树
  • 目录同步控制
    • 允许客户在上一个目录同步控制运行完之后对目录进行修改
  • 通知
    • 为就对象所进行的修改提供通知
ldapv36
LDAPv3 – 控制
  • 跨域移动
    • 在与LDAP ModifyDN请求配合使用的情况下,将允许对象在Windows NT域之间移动
  • 显示删除
    • 允许客户要求系统将已删除的对象与LDAP的搜索请求一并返回
  • 安全描述符标识
    • 为目录中的对象设置ACE
ldapv37
LDAPv3 – 控制
  • 校验识别名称
    • 列举出在DN已知的情况下DSA所能校验的各种对象
  • 无参考
    • 告知DSA不生成参考
  • 服务器搜索选项
    • 允许客户将搜索选项传递给DSA
      • 0x1 不生成参考
      • 0x2 搜索全部从属于搜索基础的NC
ldapv38
LDAPv3 – 控制
  • 分页结果控制
    • 允许客户在小片内检索信息
  • 服务器分类控制
    • 由客户发送给DSA以指定属性的分类索引顺序
  • 属性范围选项
    • 将多值属性按单值属性进行读取
ldapv39
LDAPv3 – 控制
  • 返回扩展DN控制
    • 返回对象的GUID和SID
  • 获取服务器状态
    • MSFT独家专利
    • DSA搜索状态
    • LDP拥有用于解析搜索结果的代码
slide79
LDAP错误
  • Winldap.h和RFC 2251
  • 错误家族:
    • 操作错误
    • 属性错误
    • 对象错误
    • 安全错误
    • 命名错误
    • 连接/定时错误
slide80
LDAP错误
  • LDAP错误
    • 结果代码 = 无效信用凭证 0x31
    • Winldap.h
  • 出错信息 = 8009030C
    • 8009030C -> 0x8009030CL
  • LdapErr: DSID-0C090341
    • Dsid.exe 0C090341
    • dir 12, file 9 (ldap\command.cxx), line 833
  • AcceptSecurityContext error, data 52e
    • 0x52e = 1326 = ERROR_LOGON_FAILURE
ldap api
认证

ldap_open()

ldap_bind_s()

ldap_unbind_s()

询问

ldap_search_s()

ldap_compare_s()

更新DSA

ldap_modify_s()

ldap_add_s()

ldap_modrdn_s()

ldap_delete_s()

核心LDAP API
slide83
回顾
  • 何谓LDAP?
    • RFC兼容的目录访问协议
  • 为何要使用LDAP?
    • 访问并修改活动目录中的属性
  • LDAP有哪些模式?
    • 信息模式
    • 命名模式
    • 功能模式
    • 安全模式
slide84
回顾
  • 理解LDAP错误
    • LDAP错误
    • Winldap.h
    • Winerror.h
  • 如何令LDAP为我们工作?
    • Microsoft LDAP API
    • ADSI
msft dsa
MSFT DSA不支持的特性
  • 别名条目
    • 从一个条目到另一个条目的指示器
    • 未在规划中进行定义
    • 别名需要管理方面的努力
    • 执行GUIDS以发现唯一对象
  • 近似搜索过滤器
    • ~ 不等于一个Soundex
  • 链锁
    • X.500概念
ldapv2 rfc
针对LDAPv2的RFC
  • RFC 1777 - 轻便目录访问协议
  • RFC 1778 - 标准属性语法的字符串表示法
  • RFC 1779 - 标识名称的字符串表示法
  • RFC 1960 - LDAP搜索过滤器的字符串表示法
  • RFC 1823 –LDAP 应用程序编程接口
  • RFC 2247 - 在LDAP/X.500标识名称中使用域名
ldapv3 rfc
针对LDAPv3的RFC
  • RFC 2251 - 轻便目录访问协议(v3)
  • RFC 2252 -轻便目录访问协议(v3) :属性语法定义
  • RFC 2253 -轻便目录访问协议(v3) :UTF-8标识名称字符串表示法
  • RFC 2254 - LDAP搜索过滤器的字符串表示法
  • RFC 2255 - LDAP URL格式
  • RFC 2256 - 关于与LDAPv3 配合使用的X.500(96)用户规划总结
slide88
参考资料
  • 《理解LDAP》 – 一份白皮书,作者: Dan Thompson
  • www.Microsoft.Com/ntserver
  • 《Windows 2000资源工具》
slide90
得到更多相关信息
  • 参阅TechNet网站 www.microsoft.com/technet/
  • Microsoft正式培训课程
    • MOC Web site: onwww.microsoft.com/train_cert/
  • 访问我们的Windows 2000 技术中心
    • www.microsoft.com/TechNet/Win2000
  • IT专家用户小组
    • www.microsoft.com/technet/usergroup/default.asp
slide91
鸣谢
  • 作者:Srinivas Gazula, MCS(财务服务公司)
  • 制作人/编辑:Jim Stuart和Michael McWilliams
  • 感谢负责对本讲座内容进行审阅的Microsoft 技术人士:
    • Dan Thomson