LDAP

LDAP是輕量目錄訪問協議，英文全稱是Lightweight Directory Access Protocol，一般都簡稱為LDAP。它是基於X.500標準的，但是簡單多了並且可以根據需要定制。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP的核心規範在RFC中都有定義，所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。

LDAP目錄以樹狀的層次結構來存儲數據。如果你對自頂向下的DNS樹或UNIX文件的目錄樹比較熟悉，也就很容易掌握LDAP目錄樹這個概念了。就象DNS的主機名那樣，LDAP目錄記錄的標識名（Distinguished Name，簡稱DN）是用來讀取單個記錄，以及回溯到樹的頂部。後面會做詳細地介紹。

為什麽要用層次結構來組織數據呢？原因是多方面的。下面是可能遇到的一些情況： l 如果你想把所有的美國客戶的聯系信息都“推”到位於到西雅圖辦公室（負責營銷）的LDAP服務器上，但是你不想把公司的資產管理信息“推”到那裏。 l 你可能想根據目錄樹的結構給予不同的員工組不同的權限。在下面的例子裏，資產管理組對“asset-mgmt"部分有完全的訪問權限，但是不能訪問其它地方。 l 把LDAP存儲和復制功能結合起來，可以定制目錄樹的結構以降低對WAN帶寬的要求。位於西雅圖的營銷辦公室需要每分鐘更新的美國銷售狀況的信息，但是歐洲的銷售情況就只要每小時更新一次就行了。

刨根問底：基準DN LDAP目錄樹的最頂部就是根，也就是所謂的“基準DN"。基準DN通常使用下面列出的三種格式之一。假定我在名為FooBar的電子商務公司工作，這家公司在Internet上的名字是foobar o="FooBar, Inc.", c=US （以X.500格式表示的基準DN） 在這個例子中，o=FooBar, Inc. 表示組織名，在這裏就是公司名的同義詞。c=US 表示公司的總部在美國。以前，一般都用這種方式來表示基準DN。但是事物總是在不斷變化的，現在所有的公司都已經（或計劃）上Internet上。隨著Internet的全球化，在基準DN中使用國家代碼很容易讓人產生混淆。現在，X.500格式發展成下面列出的兩種格式。

o=foobar.com （用公司的Internet地址表示的基準DN） 這種格式很直觀，用公司的域名作為基準DN。這也是現在最常用的格式。 dc=foobar, dc=com （用DNS域名的不同部分組成的基準DN） 就象上面那一種格式，這種格式也是以DNS域名為基礎的，但是上面那種格式不改變域名（也就更易讀），而這種格式把域名：foobar點com分成兩部分 dc=foobar, dc=com。在理論上，這種格式可能會更靈活一點，但是對於最終用戶來說也更難記憶一點。考慮一下foobar.com這個例子。當foobar.com和gizmo.com合並之後，可以簡單的把“dc=com"當作基準DN。把新的記錄放到已經存在的dc=gizmo, dc=com目錄下，這樣就簡化了很多工作（當然，如果foobar.com和wocket.edu合並，這個方法就不能用了）。如果LDAP服務器是新安裝的，我建議你使用這種格式。再請註意一下，如果你打算使用活動目錄（Active Directory），Microsoft已經限制你必須使用這種格式。

： LDAP & Implementation