轻量级目录访问协议(LDAP)目录是有关对象的信息列表,该列表以特定顺序排列,详细描述了每个对象。LDAP 是专用数据库,它具有有别于常规关系数据库的特征。目录的一个特殊特征是:它们的访问(读取或搜索)频率比它们的更新(写)频率高得多。可能会有许多人查找个人电话号码,但是电话号码很少更改。
IBM Telephone Directory V5.2 用于搜索、查看和管理现有目录中的条目,或用于安装新的目录。该应用程序使用 LDAP 目录服务器存储和检索数据。缺省情况下,在服务器上自动配置了 LDAP 服务器,除非网络中已经存在另一个 LDAP 服务器。LDAP 服务器不需要与应用程序服务器驻留在同一服务器上。另外,还可以一起使用 IBM Telephone Directory 和 Domino LDAP 服务器。要获取更多信息,请参阅 Redpaper WebSphere Application Server Express。
LDAP 服务器可以通过 TCP/IP 访问。
LDAP 条目
IBM Telephone Directory V5.2 安装唯一的缺省设置是允许用户匿名地搜索目录。
使用 IBM Telephone Directory V5.2 应用程序将条目添加到目录时,条目在用户的父 DN 中创建并使用用户标识值。例如,如果用 cn=users,dc=myhost,dc=mycompany,dc=com 父 DN 注册 John Jones,那么他的 LDAP 条目是 cn=John Jones,cn=users,dc=myhost,dc=mycompany,dc=com。父 DN 更新对于用户和 IBM Telephone Directory V5.2 管理员是隐藏的。目录中的对象由专有名称(DN)属性引用。在认证期间,将提示 John 需要其用户标识。他必须输入在注册期间指定的用户标识。在此示例中,他的用户名是 John Jones。
如果现有目录条目是基于标准 inetOrgPerson 对象类的,则可以搜索、查看和管理这些条目。此对象类是一个行业标准类,通常用于表示和存储有关人员的信息,例如姓氏和名字、电话号码和电子邮件地址。该目录可以包含其它对象类的条目,例如应用程序用于搜索目录的那些对象类;然而,缺省对象类是 inetOrgPerson。
应用程序修改的目录条目中添加有辅助对象类 ibm-itdPerson。ibm-itdPerson 对象类允许 IBM Telephone Directory V5.2 应用程序使用不随标准对象类提供的其它属性。其它属性包括备用电话号码、备用地址、助理和后备人员的 DN 值,以及包括工作职责、市场区域和贸易区域的工作场所信息。辅助对象类 ibm-itdPerson 中的所有属性都是可选的。添加该类以提供存储有关人员其它信息的方式,这些信息未包含在 inetOrgPerson 对象类中。
一旦应用程序接收到请求,那么它必须连接到 LDAP 服务器以便在上面运作。请求在指定的用户权限下完成。必要的话,应用程序使用 HTTP 请求上传递的凭证连接到 LDAP 服务器。应用程序需要某些请求(例如,创建、更新或删除目录条目的请求)的凭证。启用了公开登记时,添加新条目所需的凭证由管理员提供。
如果不需要凭证执行搜索请求,则应用程序使用匿名绑定连接到 LDAP 服务器以搜索目录。对于匿名搜索访问,目录访问配置属性必须设置为匿名(不登录)。如果需要凭证执行搜索请求,则应用程序使用 HTTP 请求上传递的用户凭证连接 LDAP 服务器。如果未提供凭证,则请求失败。对于认证的搜索访问,目录访问配置属性必须设置为需要登录。请参阅修改目录访问以获取更多信息。
LDAP 服务器控制授权用户执行哪些操作,以及他们的请求成功还是失败。这包含了匿名用户请求。目录的所有权限设置由 LDAP 服务器指定和控制。该应用程序将 HTTP 请求转换为 LDAP 请求,确保凭证安全处理并提供给 LDAP 服务器,并将 LDAP 结果(成功或失败)格式化到类似简单地址簿的 HTML 页面中。
用户提供应用程序用于连接到 LDAP 服务器的凭证。指定了公开登记时,用户凭证不用于连接到 LDAP 服务器。对于公开登记,从应用程序的配置文件读取凭证。必要时会要求 HTTP 服务器认证用户。该应用程序使用每个请求上提供的凭证(必要时)来连接 LDAP 服务器。该应用程序不高速缓存凭证或重新使用 LDAP 连接来处理多个 HTTP 请求。每次请求后,LDAP 连接将断开,这让应用程序无法使用用户的凭证连接以完成另一个用户的请求。如果 HTTP 服务器不提供连接到 LDAP 服务器所需的凭证,则应用程序失败。