[TOC] # 名称： LDAP Query | 目录数据查询 # 图标：  # 功能： * 此模块是一个组合元件 * 查询LDAP目录数据库中的信息 * 可视化的元件位于授权版本的开发平台的“集成功能元件”类的元件选项区中 # 使用方式： ## 查询轻量级目录数据库文件中内容 ### 输入 * <**Server Name**>：字符类型的输入，单数，必须项；输入LDAP目录数据库所在服务器地址，比如：“ldap://l-ldapt1.ops.dev.cn0.qunar.com” * <**Security Protocol**>：字符类型的输入，单数，必须项；输入安全协议名称字符，如“TLS1.2” * <**User Name**>：字符类型的输入，单数，必须项；输入用户账号或用户名称 * <**Password**>：字符类型的输入，单数，必须项；输入用户账号对应的密码字符 * <**Base Name**>：字符类型的输入，单数，必须项；输入将要被搜索的目录的LDAP项的名称(distinguished name) * <**Filter**>：字符类型的输入，单数，必须项；输入简单的查询条件字符串，如：“givenName=${Name}”，其中“Name”项可以手动添加一个输入元件命名为“Name”作为查询条件的参数输入项 ### 输出： * <**None**>：空值输出，单数，非必须项；无查询结果时输出一个空值，用于触发下一步处理的逻辑或对象元件 * <**Results**>：数据结构类型的输出，单数，非必须项；可以自己定义数据结构，其中包括属性名称和值两个变量子元件 ## 示例： ### 案例：输入参数即可查询LDAP数据文件中的信息 :-:  # LDAP相关介绍： ## **什么是LDAP？** **（一）在介绍什么是LDAP之前，我们先来介绍一个东西：“什么是目录服务？**” 1. 目录服务是一个特殊的数据库，用来保存描述性的、基于属性的详细信息，支持过滤功能 2. 是动态的，灵活的，易扩展的 如：人员组织管理，电话簿，地址簿 **（二）了解完目录服务后，我们再来看看LDAP的介绍：** * LDAP（Light Directory Access Portocol），它是基于X.500标准的轻量级目录访问协议 * 目录是一个为查询、浏览和搜索而优化的数据库，它以树状结构组织数据，类似文件目录一样 * 目录数据库和关系数据库不同，它有优异的读取性能，但写入性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录天生是用来查询的，就好象它的名字一样 * LDAP目录服务是由目录数据库和一套访问协议组成的系统 **（三）为什么要使用LDAP** * LDAP是开放的Internet标准，支持跨平台的Internet协议，在业界得到广泛认可，并且市场上或者开源社区上的大多产品都加入了对LDAP的支持，因此对于这类系统，不需单独定制，只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”，可以大大降低重复开发和对接的成本 * 例如我们本章节的“Check Password LDAP单点登录认证”元件就是一个验证用户信息的简单应用 **LDAP的主要产品** * LDAP的中文全称是：轻量级目录访问协议，说到底LDAP仅仅是一个访问协议，那么我们的数据究竟存储在哪里呢？ 我们一起看下下面的表格： | 厂商 | 产品 | 介绍 | | :---: | :---: | :---: | | SUN | SUNONE Directory Server | 基于文本数据库的存储，速度快 | | IBM | IBM Directory Server | 基于DB2 的的数据库，速度一般 | | Novell | Novell Directory Server | 基于文本数据库的存储，速度快, 不常用到 | | Microsoft| Microsoft Active Directory | 基于WINDOWS系统用户，对大数据量处理速度一般，但维护容易，生态圈大，管理相对简单 | | Opensource | OpensourceOpenLDAP | 开源的项目，速度很快，但是非主 流应用 | 这就是正常存储数据的地方，而访问这些数据就是通过我们上述所说的LDAP **三、LDAP的基本模型** 每一个系统、协议都会有属于自己的模型，LDAP也不例外，在了解LDAP的基本模型之前我们需要先了解几个LDAP的目录树概念： **（一）目录树概念** 1. 目录树：在一个目录服务系统中，整个目录信息集可以表示为一个目录信息树，树中的每个节点是一个条目 2. 条目：每个条目就是一条记录，每个条目有自己的唯一可区别的名称（DN） 3. 对象类：与某个实体类型对应的一组属性，对象类是可以继承的，这样父类的必须属性也会被继承下来 4. 属性：描述条目的某个方面的信息，一个属性由一个属性类型和一个或多个属性值组成，属性有必须属性和非必须属性 **（二）DC、UID、OU、CN、SN、DN、RDN** | 关键字 | 英文全称 | 含义 | | :---: | :---: | :---: | | dc | Domain Component | 域名的部分，其格式是将完整的域名分成几部分，如域名为example.com变成dc=example,dc=com（一条记录的所属位置）| | uid | User Id | 用户ID songtao.xu（一条记录的ID）| | ou | Organization Unit | 组织单位，组织单位可以包含其他各种对象（包括其他组织单元），如“oa组”（一条记录的所属组织）| | cn | Common Name | 公共名称，如“Thomas Johansson”（一条记录的名称）| | sn | Surname | 姓，如“许” | | dn | Distinguished Name | “uid=songtao.xu,ou=oa组,dc=example,dc=com”，一条记录的位置（唯一）| | rdn | Relative dn | 相对辨别名，类似于文件系统中的相对路径，它是与目录树结构无关的部分，如“uid=tom”或“cn= Thomas Johansson” | （三）基本模型： **信息模型：** 1. 信息是以树状方式组织的 2. 基本数据单元是条目 3. 每个条目由属性和值构成 **命名模型：**也叫条目定位方式，每个条目都有自己的DN，为其名称标识，带路径的文件名就是一个DN **功能模型：**主要有查询操作、更新操作、认证类操作、其他扩展操作，其中查询操作（本节元件）和[认证操作](./1221171)可以用无代码元件来直接设计所需功能 **安全模型：**LDAP的安全主要是告身份验证、安全通道、访问控制来实现的，参考元件中的输入参数 **四、LDAP的使用** * 我们是如何访问LDAP的数据库服务器的？ :-:  * 统一身份认证：此功能主要是改变原有的认证策略，使需要认证的软件都通过LDAP进行认证，在统一身份认证之后，用户的所有信息都存储在AD Server中。终端用户在需要使用公司内部服务的时候，都需要通过AD服务器的认证 * LDAP访问过程： ~~~ 1. 连接到LDAP服务器 2. 绑定到LDAP服务器 3. 在LDAP服务器上执行所需的任何操作 4. 释放LDAP服务器的连接 ~~~