AddEdit
LISÄÄ toiminto lisää uuden tuloa directory-palvelimen tietokantaan. Jos erottaa nimi lisää pyyntö on jo olemassa hakemistossa, niin palvelin ei lisää kaksoiskappale mutta asettaa tulos-koodi lisää tulos desimaalin 68, ”entryAlreadyExists”.
- LDAP-yhteensopiva palvelimia koskaan dereference erottaa nimi lähetetään lisätä pyynnön, kun yrität etsiä merkintä, että on, erottaa nimet eivät koskaan ole de-aliasing.,
- LDAP-yhteensopivat palvelimet varmistavat, että distinguished name ja kaikki attribuutit ovat nimeämisstandardien mukaisia.
- lisättävää merkintää ei saa olla, ja välittömän esimiehen on oltava olemassa.
edellä olevassa esimerkissä uid=user,ou=people,dc=example,dc=com
on ollut olemassa, ja ou=people,dc=example,dc=com
on olemassa.
Bind (todentaa)Muokkaa
Kun LDAP-istunto on luotu, että on, kun LDAP-asiakas muodostaa yhteyden palvelimeen, todennus-tila sessionis asetettu anonyymi. SIDONTAOPERAATIO määrittää todennustilan istuntoa varten.,
Yksinkertainen SITOA ja SASL TAVALLINEN voi lähettää käyttäjän DN ja salasana selväkielisenä, joten yhteyksiä hyödyntäen joko Yksinkertainen tai SASL PLAINshould salataan TLS (Transport Layer Security). Palvelin tarkistaa salasanan tyypillisesti userPassword
– attribuuttia vastaan nimetyssä merkinnässä. Anonymous BIND (tyhjällä DN: llä ja salasanalla) palauttaa yhteyden anonyymiin tilaan.
SASL (Simple Authentication and Security Layer), SITOA tarjoaa autentikoinnin palveluja läpi suuren joukon mekanismeja, kuten Kerberos tai asiakas todistus lähetetään withTLS.,
sitoo myös LDAP-protokollaversion lähettämällä versionumeron kokonaisluvun muodossa. Jos asiakas pyytää versio, että palvelin ei tue,palvelin täytyy määrittää tuloksen koodi SITOA vastaus koodi pöytäkirjan virhe. Normaalisti asiakkaiden tulisi käyttää LDAPv3: ta, joka on protokollan virhe, mutta ei aina LDAP-kirjastoissa.
SIDO oli ensimmäinen operaatio istunnossa LDAPv2, mutta ei tarvita kuin LDAPv3., Vuonna LDAPv3, eachsuccessful BIND-pyyntö muuttaa authentication valtion istunnon ja jokainen epäonnistunut BIND-pyyntö palauttaa authentication uuden istunnon.
DeleteEdit
jos Haluat poistaa merkinnän, LDAP-asiakas lähettää oikein muodostettu poistaa pyynnön palvelimelle.,
- A poistaa pyynnön on sisällettävä erottaa nimi merkintä poistetaan
- Pyydä tarkastukset voi myös olla kiinnitetty delete-pyyntö
- Palvelimet eivät dereference aliakset kun processing delete-pyyntö
- Vain lehtiä merkinnät (merkinnät, joilla ei ole alaisia) voidaan poistaa delete-pyyntö., Jotkut palvelimet tukevat operatiivisen määrite
hasSubordinates
, jonka arvo ilmaisee, onko tulo on alisteinen merkinnät, ja jotkut palvelimet tukevat operatiivisen määritenumSubordinates
osoittaa määrä merkintöjä alainen tulo, joka sisältäänumSubordinates
attribuutti. - Jotkin palvelimet tukevat alipuu poistaa pyynnön ohjaus sallii poistetaan DN ja kaikki esineet alisteinen DN, jollei pääsyn valvontaa., Poista pyyntöjä toteutetaan saatavuuden valvonta, että on, onko yhteys tietyn authentication valtio ei saa poistaa koska merkintä hallitsee palvelin-erityisiä access control mekanismeja.
Haku ja CompareEdit
Haku-toimintoa käytetään sekä etsiä ja lukea merkinnät. Sen parametrit ovat:
baseObject nimi base object entry (tai ehkä juuri) suhteessa, jossa haku suoritetaan. laajuus mitä elementtejä alla baseObject etsiä., Tämä voi ollaBaseObject
(haku vain nimeltä merkintä, tyypillisesti käytetään lukea yksi syöttö),singleLevel
(merkinnät välittömästi alle base DN), taiwholeSubtree
(koko alipuu alkaen base DN). suodata kriteerit käyttää valittaessa elementtejä soveltamisalan., Esimerkiksi suodattimen(&(objectClass=person)(|(givenName=John)(mail=john*)))
valitse ”henkilöt” (elementit kohdeluokkaperson
), jos vastaavat säännötgivenName
jamail
määrittää, onko arvot niille attribuutteja vastaavat suodatin väite. Huomaa, että yleinen harhaluulo on, että LDAP data on merkkikokoriippuvainen, vaikka itse asiassa matching säännöt ja tilaus säännöt määräävät, matching, vertailuja, ja suhteellinen arvo suhteita., Jos esimerkiksi suodattimet olivat velvollisia vastaamaan jos attribuutin arvo, laajennettavissa ottelu suodatin on käytettävä, esimerkiksi(&(objectClass=person)(|(givenName:caseExactMatch:=John)(mail:caseExactSubstringsMatch:=john*)))
derefAliases, Onko ja miten seurata alias merkinnät (merkinnät, jotka viittaavat muut merkinnät), ominaisuuksia, Jotka määritteet tuotto tulos merkinnät. sizeLimit, timeLimit enimmäismäärä merkintöjä palata, ja suurin aika, jotta haku käynnissä. Nämä arvot eivät kuitenkaan voi ohittaa mitään rajoituksia, joita palvelin asettaa kokorajalle ja aikarajalle. typesOnly Return attribuuttityypit vain, ei attribuuttiarvot.,
palvelin palauttaa vastaavat merkinnät ja mahdollisesti jatkoa viittauksia. Nämä voidaan palauttaa missä tahansa järjestyksessä. Lopputulokseen sisältyy tuloskoodi.
Vertaile toiminta vie DN, määritteen nimi ja attribuutti-arvo, ja tarkistaa, jos nimetty merkintä sisältää sen ominaisuuden kanssa, että arvo.
ModifyEdit
MUOKKAA-toiminto on käytössä LDAP-asiakkaiden pyynnöstä, että LDAP-palvelimen tehdä muutoksia nykyisiin merkintöjä. Yritykset muokata merkintöjä, joita ei ole, epäonnistuvat. Muokkaa pyyntöjä edellyttää käyttöoikeuksien valvontaa palvelimen toteuttamalla tavalla.,
MUOKKAA toiminta edellyttää, että distinguished name (DN) – merkintä on määritetty, ja jono muutokset. Jokainen muutos sekvenssi tulee olla yksi seuraavista:
- add (lisää uuden arvon, joka on jo olemassa attribuutti)
- delete (poista olemassa olevan arvo)
- korvaa (korvaa olemassa olevan arvo, uusi arvo)
LDIF esimerkiksi lisäämällä arvo määrite:
dn: dc=example,dc=comchangetype: modifyadd: cncn: the-new-cn-value-to-be-added-
korvaa-arvo on olemassa oleva ominaisuus, Käytä korvata avainsanalla., Jos ominaisuus on moniarvoinen, asiakkaan on määritettävä arvo ominaisuus päivittää.
Voit poistaa määritteen merkintä, käytä avainsanaa poista ja changetype-tunnus muokata. Jos ominaisuus on moniarvoinen, asiakkaan on määritettävä arvo määrite poistaa.
Siellä on myös Muokkaa-Lisäys laajennus, joka mahdollistaa incrementable attribuutin arvo voidaan kasvatetaan tietyn summan., Seuraava esimerkki käyttää LDIF välein employeeNumber 5:
dn: uid=user.0,ou=people,dc=example,dc=comchangetype: modifyincrement: employeeNumberemployeeNumber: 5-
Kun LDAP-palvelimet ovat kopioineet topologia, LDAP-asiakkaiden pitäisi harkita post-lue valvonta tarkistaa päivitykset sijaan haun jälkeen päivityksen. Post-lue valvonta on suunniteltu niin, että sovellusten ei tarvitse antaa haku pyynnön jälkeen päivityksen – se on epäkohteliasta hakea merkintä, jonka ainoana tarkoituksena on tarkistaa, että päivitys toimi, koska replikointi mahdollisen johdonmukaisuuden malli., LDAP-asiakas ei saa olettaa, että se muodostaa yhteyden samaan hakemistopalvelimeen jokaista pyyntöä varten, koska arkkitehdit ovat saattaneet asettaa kuormitustasoja tai LDAP-välityspalvelimia tai molempia LDAP-asiakkaiden ja palvelimien väliin.
Muokkaa DNEdit
Modify DN (move/rename entry) ottaa uuden RDN (Relative Distinguished Name), vaihtoehtoisesti uuden vanhemman DN, ja lippu, joka ilmaisee, onko poistaa arvo(s) merkintä, että ottelu vanha RDN. Palvelin voi tukea koko hakemiston alaotsikoiden uudelleennimeämistä.,
päivitysoperaatio on atominen: muissa operaatioissa nähdään joko uusi merkintä tai vanha. Toisaalta LDAP ei määrittele useiden toimintojen tapahtumia: jos lukee merkinnän ja muokkaa sitä, toinen asiakas on saattanut päivittää merkinnän sillä välin. Palvelimet voivat kuitenkin toteuttaa tätä tukevia laajennuksia.
Extended operationsEdit
laajennettu operaatio on yleinen LDAP-operaatio, jolla voidaan määritellä uusia operaatioita, jotka eivät kuuluneet alkuperäiseen protokollaerittelyyn. Startls on yksi merkittävimmistä laajennuksista., Muita esimerkkejä ovat peruutus ja salasanan muokkaus.
StartTLSEdit
StartTLS toimintaa vahvistetaan Transport Layer Security (jälkeläinen SSL) yhteys. Se voi tarjota tietojen luottamuksellisuus (suojata tietoja on havaittu, että kolmannet osapuolet) ja/tai tietojen eheyden suojaus (joka suojaa tietoja luvattomalta). TLS-neuvottelujen aikana palvelin lähettää X. 509-sertifikaattinsa todistaakseen henkilöllisyytensä. Asiakas voi myös lähettää todistuksen henkilöllisyytensä todistamiseksi. Tämän jälkeen asiakas voi käyttää SASL / EXTERNALIA., Käyttämällä SASL/ULKOINEN asiakas pyytää palvelimelta saada sen identiteetti alkaen valtakirjojen edellyttäen, alemmalla tasolla (kuten TLS). Vaikka palvelin voi teknisesti käyttää mitä tahansa alemman tason tunnistetietoja, Tyypillisesti palvelin käyttää TLS: n vahvistamia tunnistetietoja.
palvelimet tukevat usein myös epätyypillistä ”LDAPS”-protokollaa (”Secure LDAP”, yleisesti ”LDAP over SSL”) erillisellä portilla oletuksena 636., LDAPS eroaa LDAP kahdella tavalla:1) kun yhteyden asiakas ja palvelin vahvistaa TLS ennen LDAP-viestit siirretään (ilman StartTLS käyttö) ja 2) että LDAPS-yhteyden on oltava kiinni, kun TLS-yhteyden sulkeminen.
Jotkut ”LDAPS” asiakas kirjastot vain salata viestintää; he eivät tarkista palvelimen nimi nimeä vastaan vuonna mukana toimitettu todistus.
AbandonEdit
Luopua käyttö vaatii, että palvelimelle, keskeyttää operaation nimeltä viestin TUNNUS. Palvelimen ei tarvitse kunnioittaa pyyntöä. Ei hylätä tai onnistuneesti hylätty operaatio lähettää vastausta., Vastaava peruutus laajennettu toiminta lähettää vastauksia, mutta kaikki toteutukset eivät tue tätä.
UnbindEdit
pura nidonta toiminta hylkää kaikki jäljellä olevat toiminnot ja sulkee yhteyden. Se ei vastaa. Nimi on historiallista alkuperää, eikä se ole Sidontaoperaation vastakohta.
asiakkaat voivat keskeyttää istunnon yksinkertaisesti sulkemalla yhteyden, mutta heidän tulisi käyttää Unbindia. Purkamisohjelman mahdollistaa palvelimen sulavasti sulkea yhteyden ja vapauttaa resursseja, että se olisi muuten pitää jonkin aikaa, kunnes löytää asiakas oli hylännyt yhteyden., Se myös ohjeistaa palvelinta peruuttamaan peruutettavissa olevat toiminnot eikä lähettämään vastauksia operaatioihin, joita ei voi peruuttaa.