LDAP Naming Model:

Một phần của tài liệu Quản lý xác thực tập trung với dịch vụ ldap linux (Trang 88 - 93)

• Mô hình LDAP Naming định nghĩa ra cách để chúng ta có thể sắp xếp và

tham chiếu đến dữ liệu của mình. Hay chúng ta có thể nói rằng mô hình này mô tả cách sắp xếp các entry của chúng vào một cấu trúc có logical, và mô hình LDAP Naming chỉ ra cách để chúng ta có thể tham chiếu đến bất kỳ một entry thư mục nào nằm trong cấu trúc đó.

• Mô hình LDAP Naming cho phép chúng ta có thể đặt dữ liệu vào thư mục

theo cách mà chúng ta có thể dễ dàng quản lý nhất. Ví dụ như chúng ta có thể tạo ra một container(khái niệm vật thể chứa đựng) chứa tất cả các

entry mô tả người trong một tổ chức, và một container chứa tất cả các group của bạn, hoặc bạn có thể thiết kế entry theo mô hình phân cấp theo cấu trúc tổ chức của bạn. Việc thiết kế tốt cần phải có những nghiên cứu thoả đáng.

Hình 34: Cây thư mục LDAP

• Chúng ta đưa ra hệ thống tập tin UNIX để thấy được những điểm khác biệt với hệ thống thư mục LDAP, sau đó phân tích mô hình cây thư mục LDAP.

Hình 35: Hệ thống tập tin của UNIX

• Có ba điểm khác biệt quan trọng :

• Điểm khác biệt đầu tiên giữa hai mô hình là trong mô hình LDAP không thực sự có một entry gốc(root). Root là nơi mà chúng ta có thể đặt các entry vào. Trên hệ thống LDAP có một entry đặc biệt được gọi là root DES chứa các thông tin về server, nhưng đây không phải là một entry thư mục bình thường.

• Khác biệt thứ hai là thư mục LDAP mỗi một node chứa dữ liệu, và cũng có thể là một container chứa các entry khác. Đây là một khác biệt với hệ thống tập tin do ở hệ thống tập tin chỉ có thư mục có thể chứa thư mục con và chỉ có tập tin mới chứa dữ liệu. Ta có thể thấy rằng entry trong thư mục có thể đồng thời là tập tin và thư mục. Hình 33 minh hoạ khái niệm trên các entry dc=airius, dc=com, ou=People và ou=devices tất cả đều chứa dữ liệu nhưng tất cả đều có node con cấp dưới.

Hình 36: Một phần thư mục LDAP với các entry chứa thông tin.

• Khác biệt cuối cùng là hệ thống tập tin phân cấp và hệ thống LDAP: Trong một hệ thống tập tin khi ta đi từ trái sang phải tên tập tin là cách ta thực hiện đi từ gốc(/) đến tập tin. Ví dụ như hình 35 hệ thống file Unix tên file của node đậm màu là : /user/bin/grep. Với hệ thống thư mục LDAP tại node đậm màu có tên là uid=bjensen, ou=people, dc=airius, dc=com nếu chúng ta đi từ trái sang phải thì chúng ta có thể quay ngược lại đỉnh của cây. Ta thấy rằng hệ thống thư mục LDAP sắp đặt có trật tự các entry của thư mục, tuy nhiên LDAP không quy định bất kỳ sự phân cấp đặt biệt nào, chúng ta có thể tự do sắp xếp hệ thống tập tin của bạn một cách có ý nghĩa nhất với bạn. Ngoài việc chỉ cho bạn cách sắp xếp dữ liệu vào trong các cấu trúc phân cấp, mô hình LDAP Naming còn chỉ ra cách để tham chiếu đến từ entry trong thư.

• Distinguished names & Relative Distingguished name:

• Distinguished names (DNs) trong LDAP đây là tên của một entry chỉ ra cách bạn có thể tham chiếu đến các entry trên thư mục, hai entry khác nhau trên thư mục hai DNs cũng khác nhau.

• Giống như đường dẫn của hệ thống tập tin, tên của một entry LDAP được hình thành bằng cách nối tất cả các tên của từng entry cấp trên (cha) cho đến khi trở lên root, như hình trên ta thấy node có màu đậm sẽ có tên là uid=bjensen, ou=people, dc=airius, dc=com nếu chúng ta đi từ trái sang phải thì chúng ta có thể quay ngược lại đỉnh của cây, chúng ta thấy rằng các thành phần riêng lẽ của cây được phân cách

bởi dấu phẩy khoảng trắng sau dấu phẩy là tuỳ ý, do đó hai DNs sau là tương đương:

uid=bjensen, ou=people, dc=airius, dc=com uid=bjensen,ou=people,dc=airius,dc=com

• Với bất kỳ một DN, thành phần trái nhất được gọi là relative distingguished name (RDN), như đã nói DN là tên duy nhất cho mỗi entry trên thư mục, do đó các entry có chùng cha thì RDN cũng phải phân biệt, ví dụ hình dưới đây ta thấy trên thư mục.

Hình 37: Ví dụ về relative distingguished name (RDN)

• Mặc dù cho có hai entry có cùng RDN cn=Joohn Smith như hai entry ở hai nhánh khác nhau.

• Bí danh (Aliases):

• Những entry bí danh (Aliases entry)trong thư mục LDAP cho phép một entry chỉ đến một entry khác, do đó chúng ta có thể xây dựng ra cấu trúc mà thứ bật không cón chính xác nữa, khái niệm Aliases entry giống như khái niệm symbolic links trong UNIX hay shortcuts trên Windows9x/NT. Hình dưới đây cho ta thấy được một aliases entry trỏ đến một entry thật sự.

• Để tạo ra một alias entry trong thư mục trước tiên bạn phải tạo ra một entry với tên thuộc tính là aliasedOjecctName với giá trị thuộc tính là DN của entry mà chúng ta muốn alias entry này chỉ đến.

Hình 38: LDAP với alias entry

• Nhưng không phải tất cả các LDAP Directory Server đều hổ trợ Aliases. Bởi vì một alias entry có thể chỉ đến bất kỳ một entry nào, kể cả các entry LDAP server khác. Do việc tìm kiếm khi gặp phải một bí danh có thể phải thực hiện tìm kiếm trên một cây thư mục khác nằm trên các server khác, do đó làm tăng chi phi cho việc tìm kiếm và đây cũng là lý do chính mà các phần mềm không hổ trợ alias.

Một phần của tài liệu Quản lý xác thực tập trung với dịch vụ ldap linux (Trang 88 - 93)

Tải bản đầy đủ (DOC)

(164 trang)
w