Node 下 LDAP 基本介绍
2021-10-28
LDAP入门
首先LDAP是一种通讯协议,LDAP支持TCP/IP。协议就是标准,并且是抽象的。在这套标准下,AD(Active Directory)是微软出的一套实现。
那AD是什么呢?暂且把它理解成是个数据库。也有很多人直接把 LDAP 说成数据库(可以把LDAP理解成存储数据的数据库)。像是其他数据库一样,LDAP也是有client端和server端。server端是用来存放资源,client端用来操作增删改查等操作。
而我们通常说的LDAP是指运行这个数据库的服务器。可以简单理解 AD =LDAP服务器+LDAP应用。
那LDAP这种数据库有什么特殊的呢?我们知道,像MySQL数据库,数据都是按记录一条条记录存在表中。而 LDAP 数据库,是树结构的,数据存储在叶子节点上。看看下面的比喻:
假设你要树上的一个苹果(一条记录),你怎么告诉它的位置呢?当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou),最后就是这个苹果的名字(uid,相当于MySQL表主键id)。好了!这时我们可以清晰的指明这个苹果的位置了。就这样就可以描述清楚“树结构”上的一条记录了。
说一下LDAP里如何定义一个记录的位置吧。
树(dc=ljheee)
分叉(ou=bei,ou=xi,ou= dong)
苹果(cn=redApple)
树(dc=ljheee)
分叉(ou=bei,ou=xi,ou= dong)
苹果(cn=redApple)
好了,redApple的位置出来了:
dn:cn=honglv,ou=bei,ou=xi,ou=dong,dc=ljheee
dn:cn=honglv,ou=bei,ou=xi,ou=dong,dc=ljheee
其中dn标识一条记录,描述了一条数据的详细路径。
咦!有人疑问,为什么ou会有多个值?你想想,从树根到达苹果的位置,可能要经过好几个树杈,所有ou可能有多个值。关于dn后面一长串,分别是cn,ou,dc;中间用逗号隔开。
总结一下LDAP树形数据库如下:
dn :一条记录的详细位置
dc :一条记录所属区域 (哪一颗树)
ou :一条记录所属组织 (哪一个分支)
cn/uid:一条记录的名字/ID (哪一个苹果名字)
LDAP目录树的最顶部就是根,也就是所谓的“基准DN"。
为什么要用LDAP目录树来存储数据,用MySQL不行吗,为什么非要搞出一个树形的数据库呢?
这是因为用树形结构存储数据,查询效率更高(具体为什么,可以看一下关系型数据库索引的实现原理——B树/B+树)。在某些特定的场景下,使用树形数据库更理想。比如:需要储存大量的数据,而且数据不是经常更改,需要很快速的查找。
把它与传统的关系型数据库相比,LDAP除了快速查找的特点,它还有很多的运用场景,比如域验证等。
LDAP java编程操作
我们可以用 JDBC (Java 数据库连接,Java Database Connectivity),操作MySQL数据库,进行对数据的增删改查。同样,LDAP树形数据库,也可以通过 JDBC 方式;除此之外,还可以用 JNDI 的方式(Java Naming and Directory Interface,Java命名和目录接口,更推荐),因为树形可以看做是目录,树结构的枝杈相当于目录的层级。
还有LDAP数据库展示数据也是树形的,ApacheDirectoryStudio下载地址
Java命名和目录接口(了解)
import com.xxx.csb.ldap.config.LdapConfiguration;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.Hashtable;
import javax.naming.*;
import javax.naming.directory.Attribute;
import javax.naming.directory.Attributes;
import javax.naming.directory.DirContext;
import javax.naming.directory.InitialDirContext;
public class LdapJNDI {
@Autowired
LdapConfiguration ldapConfiguration;
public void JNDILookup() {
String rootFilter = "o=xxx.com,o=isp";
String filter = "(&(smart-type=E1)(smart-status=1))";
String filter = "(&(smart-type=E1)(uid=00012047))";
String username = "uid=USER_NAME,ou=Authorization,ou=People,o=cc.com,o=isp";//xxx为申请的对接账户
String password = "PASSW";
Hashtable env = new Hashtable();
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");//设置连接LDAP的实现工厂
env.put(Context.PROVIDER_URL, "ldap://172.16.32.19:389/" + rootFilter);// 指定LDAP服务器的主机名和端口号
env.put(Context.SECURITY_AUTHENTICATION, "simple");//给环境提供认证方法,有SIMPLE、SSL/TLS和SASL
env.put(Context.SECURITY_PRINCIPAL, username);//指定进入的目录识别名DN
env.put(Context.SECURITY_CREDENTIALS, password); //进入的目录密码
env.put("filter",filter);
DirContext ctx = null;
try {
// 得到初始目录环境的一个引用
ctx = new InitialDirContext(env);
//The search base entry 'uid=00012047,ou=Internal,ou=People,o=xxx.com,o=isp' does not exist]; remaining name 'uid=00012047,ou=Internal'
Attributes attrs = ctx.getAttributes("uid=00012047,ou=Internal,ou=People");//获取到一个人员,
NamingEnumeration bindings = ctx.listBindings("ou=Internal,ou=People");//列举 内部人员
while (bindings.hasMore()) {
Binding bd = (Binding)bindings.next();
System.out.println(bd.getName() + ": " + bd.getObject());
}
} catch (javax.naming.AuthenticationException e) {
System.out.println("认证失败");
e.printStackTrace();
} catch (Exception e) {
System.out.println("认证出错:");
e.printStackTrace();
}finally {
if (ctx != null) {
try {
ctx.close();
} catch (NamingException e) {
e.printStackTrace();
}
}
}
}
public static void main(String[] args) {
LdapJNDI ldapJNDI = new LdapJNDI();
ldapJNDI.JNDILookup();
}
}
import com.xxx.csb.ldap.config.LdapConfiguration;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.Hashtable;
import javax.naming.*;
import javax.naming.directory.Attribute;
import javax.naming.directory.Attributes;
import javax.naming.directory.DirContext;
import javax.naming.directory.InitialDirContext;
public class LdapJNDI {
@Autowired
LdapConfiguration ldapConfiguration;
public void JNDILookup() {
String rootFilter = "o=xxx.com,o=isp";
String filter = "(&(smart-type=E1)(smart-status=1))";
String filter = "(&(smart-type=E1)(uid=00012047))";
String username = "uid=USER_NAME,ou=Authorization,ou=People,o=cc.com,o=isp";//xxx为申请的对接账户
String password = "PASSW";
Hashtable env = new Hashtable();
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");//设置连接LDAP的实现工厂
env.put(Context.PROVIDER_URL, "ldap://172.16.32.19:389/" + rootFilter);// 指定LDAP服务器的主机名和端口号
env.put(Context.SECURITY_AUTHENTICATION, "simple");//给环境提供认证方法,有SIMPLE、SSL/TLS和SASL
env.put(Context.SECURITY_PRINCIPAL, username);//指定进入的目录识别名DN
env.put(Context.SECURITY_CREDENTIALS, password); //进入的目录密码
env.put("filter",filter);
DirContext ctx = null;
try {
// 得到初始目录环境的一个引用
ctx = new InitialDirContext(env);
//The search base entry 'uid=00012047,ou=Internal,ou=People,o=xxx.com,o=isp' does not exist]; remaining name 'uid=00012047,ou=Internal'
Attributes attrs = ctx.getAttributes("uid=00012047,ou=Internal,ou=People");//获取到一个人员,
NamingEnumeration bindings = ctx.listBindings("ou=Internal,ou=People");//列举 内部人员
while (bindings.hasMore()) {
Binding bd = (Binding)bindings.next();
System.out.println(bd.getName() + ": " + bd.getObject());
}
} catch (javax.naming.AuthenticationException e) {
System.out.println("认证失败");
e.printStackTrace();
} catch (Exception e) {
System.out.println("认证出错:");
e.printStackTrace();
}finally {
if (ctx != null) {
try {
ctx.close();
} catch (NamingException e) {
e.printStackTrace();
}
}
}
}
public static void main(String[] args) {
LdapJNDI ldapJNDI = new LdapJNDI();
ldapJNDI.JNDILookup();
}
}
最后总结一下:
1、LDAP的结构用树来表示,而不是用表。正因为这样,就不能用SQL语句了。
2、LDAP写入较慢,查询较快,提供了静态数据的快速查询方式。
4、Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具。
5、LDAP是一种开放Internet标准,LDAP协议是跨平台的Interent协议。
ldap node 客户端操作
node ldap client
github 连接:https://github.com/ymyang/node-ldap
npm install node-ldap
npm install node-ldap
var LdapClient = RedisClient('node-ldap');
var client = new LdapClient({
ldapUrl: 'ldap://192.168.1.81:389',
userDn: 'administrator@yliyun.com',
password: 'yliyun@123'
});
// 用户认证
client.auth('administrator@yliyun.com', 'yliyun@123').then(function() {
console.log('success');
}).catch(function(err) {
console.error(err);
});
// 搜索部门
client.searchOU('cn=Users,dc=yliyun,dc=com').then(function(ous) {
console.log(ous);
}).catch(function(err) {
console.error(err);
});
// 搜索群组
client.searchGroup('cn=Users,dc=yliyun,dc=com').then(function(groups) {
console.log(groups);
}).catch(function(err) {
console.error(err);
});
// 搜索用户
client.searchUser('cn=Users,dc=yliyun,dc=com').then(function(users) {
console.log(users);
}).catch(function(err) {
console.error(err);
});
// 搜索
client.search({
base: 'dc=yliyun,dc=com',
scope: 'sub', // 默认为'one'
paged: 'true', // 默认为true
filter: '(objectclass=organizationalUnit)'
}).then(function(rows) {
console.log(rows);
}).catch(function(err) {
console.error(err);
});
// 断开连接
client.disconnect();
var LdapClient = RedisClient('node-ldap');
var client = new LdapClient({
ldapUrl: 'ldap://192.168.1.81:389',
userDn: 'administrator@yliyun.com',
password: 'yliyun@123'
});
// 用户认证
client.auth('administrator@yliyun.com', 'yliyun@123').then(function() {
console.log('success');
}).catch(function(err) {
console.error(err);
});
// 搜索部门
client.searchOU('cn=Users,dc=yliyun,dc=com').then(function(ous) {
console.log(ous);
}).catch(function(err) {
console.error(err);
});
// 搜索群组
client.searchGroup('cn=Users,dc=yliyun,dc=com').then(function(groups) {
console.log(groups);
}).catch(function(err) {
console.error(err);
});
// 搜索用户
client.searchUser('cn=Users,dc=yliyun,dc=com').then(function(users) {
console.log(users);
}).catch(function(err) {
console.error(err);
});
// 搜索
client.search({
base: 'dc=yliyun,dc=com',
scope: 'sub', // 默认为'one'
paged: 'true', // 默认为true
filter: '(objectclass=organizationalUnit)'
}).then(function(rows) {
console.log(rows);
}).catch(function(err) {
console.error(err);
});
// 断开连接
client.disconnect();
node.js下LDAP查询实践案例
目标:
从一个LDAP Server获取uid=kxh的用户数据
LDAP地址为:ldap://10.233.21.116:389
在工程根目录中,先npm一个LDAP的访问库ldpajs npm install ldapjs
var ldap = require("ldapjs");
//创建LDAP client,把服务器url传入
var client = ldap.createClient({
url: 'ldap://10.203.24.216:389'
});
//创建LDAP查询选项
//filter的作用就是相当于SQL的条件
var opts = {
filter: '(uid=kxh)', //查询条件过滤器,查找uid=kxh的用户节点
scope: 'sub', //查询范围
timeLimit: 500 //查询超时
};
//将client绑定LDAP Server
//第一个参数:是用户,必须是从根节点到用户节点的全路径
//第二个参数:用户密码
client.bind('uid=supbind,cn=users,dc=tiger,dc=com', '123456', function (err, res1) {
//开始查询
//第一个参数:查询基础路径,代表在查询用户信心将在这个路径下进行,这个路径是由根节开始
//第二个参数:查询选项
client.search('DC=tiger,DC=com', opts, function (err, res2) {
//查询结果事件响应
res2.on('searchEntry', function (entry) {
//获取查询的对象
var user = entry.object;
var userText = JSON.stringify(user,null,2);
console.log(userText);
});
res2.on('searchReference', function(referral) {
console.log('referral: ' + referral.uris.join());
});
//查询错误事件
res2.on('error', function(err) {
console.error('error: ' + err.message);
//unbind操作,必须要做
client.unbind();
});
//查询结束
res2.on('end', function(result) {
console.log('search status: ' + result.status);
//unbind操作,必须要做
client.unbind();
});
});
});
var ldap = require("ldapjs");
//创建LDAP client,把服务器url传入
var client = ldap.createClient({
url: 'ldap://10.203.24.216:389'
});
//创建LDAP查询选项
//filter的作用就是相当于SQL的条件
var opts = {
filter: '(uid=kxh)', //查询条件过滤器,查找uid=kxh的用户节点
scope: 'sub', //查询范围
timeLimit: 500 //查询超时
};
//将client绑定LDAP Server
//第一个参数:是用户,必须是从根节点到用户节点的全路径
//第二个参数:用户密码
client.bind('uid=supbind,cn=users,dc=tiger,dc=com', '123456', function (err, res1) {
//开始查询
//第一个参数:查询基础路径,代表在查询用户信心将在这个路径下进行,这个路径是由根节开始
//第二个参数:查询选项
client.search('DC=tiger,DC=com', opts, function (err, res2) {
//查询结果事件响应
res2.on('searchEntry', function (entry) {
//获取查询的对象
var user = entry.object;
var userText = JSON.stringify(user,null,2);
console.log(userText);
});
res2.on('searchReference', function(referral) {
console.log('referral: ' + referral.uris.join());
});
//查询错误事件
res2.on('error', function(err) {
console.error('error: ' + err.message);
//unbind操作,必须要做
client.unbind();
});
//查询结束
res2.on('end', function(result) {
console.log('search status: ' + result.status);
//unbind操作,必须要做
client.unbind();
});
});
});