LDAP

概念

LDAP（Light Directory Access Portocol），它是基于X.500标準的輕量級目錄訪問協議。

目錄是一個為查詢、浏覽和搜索而優化的數據庫，它成樹狀結構組織數據，類似文件目錄一樣。n

目錄數據庫和關系數據庫不同，它有優異的讀性能，但寫性能差，并且沒有事務處理、回滾等複雜功能，不适于存儲修改頻繁的數據。所以目錄天生是用來查詢的，就好象它的名字一樣。LDAP目錄服務是由目錄數據庫和一套訪問協議組成的系統。

主要特點

跨平台

可以在任何計算機平台上，用很容易獲得的而且數目不斷增加的LDAP的客戶端程序訪問LDAP目錄。而且也很容易定制應用程序為它加上LDAP的支持。

LDAP協議是跨平台的和标準的協議。實際上，LDAP得到了業界的廣泛認可，因為它是Internet的标準。

LDAP服務器可以是任何一個開發源代碼或商用的LDAP目錄服務器（或者還可能是具有LDAP界面的關系型數據庫），因為可以用同樣的協議、客戶端連接軟件包和查詢命令與LDAP服務器進行交互。

與LDAP不同的是，如果軟件産商想在軟件産品中集成對DBMS的支持，那麼通常都要對每一個數據庫服務器單獨定制。

費用低、維護簡單

不象很多商用的關系型數據庫，用戶不必為LDAP的每一個客戶端連接或許可協議付費。大多數的LDAP服務器安裝起來很簡單，也容易維護和優化。

複制技術

LDAP服務器可以用“推”或“拉”的方法複制部分或全部數據。

例如：可以把數據“推”到遠程的辦公室，以增加數據的安全性。複制技術是内置在LDAP服務器中的而且很容易配置。如果要在DBMS中使用相同的複制功能，數據庫産商就會要求支付額外的費用，而且也很難管理。

允許使用ACL

LDAP允許根據需要使用ACL（訪問控制列表）控制對數據讀和寫的權限。

例如，設備管理員可以有權改變員工的工作地點和辦公室号碼，但是不允許改變記錄中其它的域。ACL可以根據誰訪問數據、訪問什麼數據、數據存在什麼地方以及其它對數據進行訪問控制。

因為這些都是由LDAP目錄服務器完成的，所以不用擔心在客戶端的應用程序上是否要進行安全檢查。

存儲數據

LDAP對于數據需要從不同的地點讀取，但是不需要經常更新，這些信息存儲在LDAP目錄中是十分有效的，例如：

公司員工的電話号碼簿和組織結構圖

客戶的聯系信息

計算機管理需要的信息，包括NIS映射/、email/名稱等

軟件包的配置信息

公用證書和安全密匙

與X.500的比較

1.AP（Access Protocol）既是一個X.500的訪問協議，又是一個靈活的可以獨立實現的目錄系統。

2.DAP（Directory Access Protocol）基于Internet協議，X.500基于OSI（開放式系統互聯）協議：建立在應用層上的X.500 目錄訪問協議DAP，需要在OSI會話層和表示層上進行許多的建立連接和包處理的任務，需要特殊的網絡軟件實現對網絡的訪問；

LDAP則直接運行在更簡單和更通用的TCP/IP或其它可靠的傳輸協議層上，避免了在OSI會話和表示層的開銷，使連接的建立和包的處理更簡單、更快，對于互聯網和企業網應用更理想。

3.LDAP協議更為簡單：LDAP繼承了X.500最好的特性，同時去掉了它的複雜性。LDAP通過使用查找操作實現列表操作和讀操作，另一方面省去了X.500中深奧的和很少使用的服務控制和安全特性，隻保留常用的特性，簡化了LDAP的實現。

4.LDAP通過引用機制實現分布式訪問：X.500 DSA通過服務器之間的鍊操作實現分布式的訪問，這樣查詢的壓力集中于服務器端；而LDAP通過客戶端API實現分布式操作（對于應用透明）平衡了負載；

5.LDAP實現具有低費用、易配置和易管理的特點。經過性能測試，LDAP比X.500具有更少的響應時間；LDAP提供了滿足應用程序對目錄服務所需求的特性。