一、什麽是LDAP？

（一）在介紹什麽是LDAP之前，我們先來復習一個東西：“什麽是目錄服務？”

　　　　1. 目錄服務是一個特殊的數據庫，用來保存描述性的、基於屬性的詳細信息，支持過濾功能。

　　　　2. 是動態的，靈活的，易擴展的。

　　　　如：人員組織管理，電話簿，地址簿。

（二）了解完目錄服務後，我們再來看看LDAP的介紹：

LDAP（Light Directory Access Portocol），它是基於X.500標準的輕量級目錄訪問協議。

目錄是一個為查詢、瀏覽和搜索而優化的數據庫，它成樹狀結構組織數據，類似文件目錄一樣。

目錄數據庫和關系數據庫不同，它有優異的讀性能，但寫性能差，並且沒有事務處理、回滾等復雜功能，不適於存儲修改頻繁的數據。所以目錄天生是用來查詢的，就好象它的名字一樣。

LDAP目錄服務是由目錄數據庫和一套訪問協議組成的系統。

（三）為什麽要使用

LDAP是開放的Internet標準，支持跨平臺的Internet協議，在業界中得到廣泛認可的，並且市場上或者開源社區上的大多產品都加入了對LDAP的支持，因此對於這類系統，不需單獨定制，只需要通過LDAP做簡單的配置就可以與服務器做認證交互。“簡單粗暴”，可以大大降低重復開發和對接的成本。

我們拿開源系統（YAPI）做案例，只需做一下簡單的幾步配置就可以達到LDAP的單點登錄認證了：

{
"ldapLogin": {
      "enable": true,
      "server": "ldap://l-ldapt1.ops.dev.cn0.qunar.com",
      "baseDn": "CN=Admin,CN=Users,DC=test,DC=com",
      "bindPassword": "password123",
      "searchDn": "OU=UserContainer,DC=test,DC=com",
      "searchStandard": "mail"
   }
}

是不是很方便呢？

二、LDAP的使用

　　那我們是如何訪問LDAP的數據庫服務器呢？

　　統一身份認證主要是改變原有的認證策略，使需要認證的軟件都通過LDAP進行認證，在統一身份認證之後，用戶的所有信息都存儲在AD Server中。終端用戶在需要使用公司內部服務的時候，都需要通過AD服務器的認證。

　　那麽程序中是如何訪問的呢？ 我們以PHP腳本作為例子：

$ldapconn = ldap_connect(“10.1.8.78")
$ldapbind = ldap_bind($ldapconn, ‘username‘, $ldappass);
$searchRows= ldap_search($ldapconn, $basedn, "(cn=*)");
$searchResult = ldap_get_entries($ldapconn, $searchRows);
ldap_close($ldapconn);

1. 連接到LDAP服務器；

2. 綁定到LDAP服務器；

3. 在LDAP服務器上執行所需的任何操作；

4. 釋放LDAP服務器的連接；

LDAP & Implementation