關於 LDAP

ILOM 根據 OpenLDAP 軟體,支援使用者的簡易目錄存取協定 (LDAP) 認證。LDAP 為通用的目錄服務。目錄服務為分散式應用程式的集中資料庫,旨在管理目錄中的項目。因此,多個應用程式可共用單一使用者資料庫。如需有關 LDAP 的詳細資訊,請參閱 http://www.openldap.org/

LDAP 的運作方式

LDAP 是以主從式模型為基礎。LDAP 提供目錄,而用戶端則使用目錄服務來存取項目。儲存於目錄中的資料可以在幾部 LDAP 伺服器之間分布。

LDAP 伺服器組織目錄的方式

LDAP 中的資料是以階層式進行組織的,從根目錄開始,並向下分支到個別項目。階層頂層的項目代表較大的組織,而其下則是較小組織的項目。階層底部則是個人或資源項目。

每個項目均由一個辨別名稱 (dn) 來唯一識別。辨別名稱包含可在該階層層級唯一識別該項目的名稱,和可追蹤至該項目之樹狀結構根目錄的路徑。

例如,jsmith 的辨別名稱為:

dn:uid=jsmith, ou=people, dc=sun.com

其中,uid 代表項目的使用者 ID,ou 代表項目所屬的組織單元,而 dc 則代表項目所屬的較大組織。下圖顯示在目錄階層中,如何使用辨別名稱來唯一識別項目。

LDAP 用戶端和伺服器的運作方式

在 LDAP 主從式模型中,LDAP 伺服器讓 LDAP 用戶端能夠存取有關人員、組織和資源的資訊。用戶端使用通常會隨附於 LDAP 伺服器的用戶端公用程式,對 LDAP 資料庫進行變更。對 LDAP 資料庫進行變更時,所有用戶端應用程式都會立即看到所做的變更,因此無需更新每個分散式應用程式。LDAP 用戶端可以執行下列作業,包括:

  • 搜尋及擷取目錄中的項目。

  • 將項目新增至目錄。

  • 更新目錄中的項目。

  • 刪除目錄中的項目。

  • 重新命名目錄中的項目。

例如,若要更新目錄中的項目,LDAP 用戶端會將項目的辨別名稱和更新過的屬性資訊提交給 LDAP 伺服器。LDAP 伺服器會使用辨別名稱在目錄中尋找項目,並執行修改作業以更新目錄中的項目。使用該 LDAP 伺服器的所有分散式應用程式可立即存取已更新的資訊。

若要執行上述任何 LDAP 作業,LDAP 用戶端必須建立與 LDAP 伺服器的連線。雖然伺服器可能在其他連接埠上執行,LDAP 也會指定要使用 TCP/IP 連接埠號 389。

ILOM 可以是 LDAP 伺服器的用戶端。為了使用 LDAP 認證,您必須在 ILOM 可以進行認證或可以連結到的 LDAP 伺服器上建立使用者,以便用戶端具有搜尋 LDAP 伺服器中適當目錄的權限。

如需詳細資訊,請參閱配置 LDAP 設定