AddEdit
Lägg till åtgärden infogar en ny post i katalogserverdatabasen. Om det framstående namnet I add-förfrågan redan finns i katalogen, kommer servern inte att lägga till en dubblettpost utan kommer att ställa in resultatkoden I add-resultatet till decimal 68, ”entryAlreadyExists”.
- LDAP-kompatibla servrar kommer aldrig att avleda det framstående namn som överförs i add-förfrågan när de försöker hitta posten, det vill säga, distinguished names de-aliased.,
- LDAP-kompatibla servrar säkerställer att det framstående namnet och alla attribut överensstämmer med namnstandarderna.
- posten som ska läggas till får inte existera, och den omedelbara överordnade måste existera.
i exemplet ovan måsteuid=user,ou=people,dc=example,dc=com inte existera, ochou=people,dc=example,dc=com existera.
Bind (authenticate)Edit
När en LDAP-session skapas, det vill säga när en LDAP-klient ansluter till servern, autentiseringsstaten för sessionenär inställd på anonym. BIND-åtgärden upprättar autentiseringsstatus för en session.,
Enkel att BINDA och SASL VANLIGT kan skicka användarens DN och lösenord i klartext, så de anslutningar som använder antingen Enkla eller SASL PLAINshould vara krypterat med TLS (Transport Layer Security). Servern kontrollerar normalt lösenordet mot attributetuserPasswordI den namngivna posten. Anonym BIND (med tomt DN och lösenord) återställer anslutningen till anonym stat.
SASL (Simple Authentication and Security Layer) BIND tillhandahåller autentiseringstjänster genom ett brett spektrum av mekanismer, t.ex. Kerberos eller klientcertifikatet skickat withTLS.,
BIND anger också LDAP-protokollversionen genom att skicka ett versionsnummer i form av ett heltal. Om klienten begär en version som servern inte stöder måste servern ställa in resultatkoden i BIND-svaret på koden för ett protokollfel. Normalt bör klienter använda LDAPv3, vilket ärdefault i protokollet men inte alltid i LDAP-bibliotek.
BIND måste vara den första åtgärden i en session i LDAPv2, men krävs inte från och med LDAPv3., I LDAPv3 ändrar varjesuccessful BIND request autentiseringsstaten för sessionen och varje misslyckad BIND request återställer autentiseringsstaten för sessionen.
DeleteEdit
för att ta bort en post sänder en LDAP-klient en korrekt bildad delete-begäran till servern.,
- en begäran om borttagning måste innehålla namnet på den post som ska raderas
- Request controls kan också bifogas begäran om borttagning
- servrar tar inte bort alias vid behandling av en begäran om borttagning
- endast bladposter (poster utan underordnade) kan tas bort av en begäran om borttagning., Vissa servrar stöder ett operativt attribut
hasSubordinatesvars värde anger om en post har några underordnade poster och vissa servrar stöder ett operativt attributnumSubordinatessom anger antalet poster som är underordnade posten som innehåller attributetnumSubordinates. - vissa servrar har stöd för subtree delete request-kontrollen som tillåter radering av DN och alla objekt som är underordnade DN, med förbehåll för åtkomstkontroller., Ta bort begäranden är föremål för åtkomstkontroller, det vill säga om en anslutning till ett visst autentiseringstillstånd kommer att tillåtas att ta bort en viss post styrs av serverspecifika åtkomstkontrollmekanismer.
Sök och CompareEdit
sökoperationen används för att både söka efter och läsa poster. Dess parametrar är:
baseObject namnet på basobjektets post (eller eventuellt roten) i förhållande till vilken sökningen ska utföras. omfattning vilka element under basenobjekt att söka., Detta kan varaBaseObject(Sök bara den namngivna posten, som vanligtvis används för att läsa en post),singleLevel(poster direkt under basen DN), ellerwholeSubtree(hela delträdet börjar vid basen DN). filterkriterier som ska användas vid val av element inom räckvidd., Till exempel väljer filtret(&(objectClass=person)(|(givenName=John)(mail=john*)))” personer”(element i objectClassperson) där matchningsreglerna förgivenNameochmailavgör om värdena för dessa attribut matchar filterpåståendet. Observera att en vanlig missuppfattning är att LDAP-data är skiftlägeskänsliga, medan i själva verket matchningsregler och beställningsregler bestämmer matchning, jämförelser och relativa värdeförhållanden., Om exempelfiltren krävdes för att matcha attributvärdet måste ett extensibelt matchningsfilter användas, till exempel(&(objectClass=person)(|(givenName:caseExactMatch:=John)(mail:caseExactSubstringsMatch:=john*)))derefAliases om och hur man följer aliasposter (poster som refererar till andra poster), attribut som attribut ska returnera i resultatposter. sizeLimit, tidsgräns maximalt antal poster för att returnera, och maximal tid för att tillåta sökning att köras. Dessa värden kan dock inte åsidosätta några begränsningar som servern placerar på storleksgräns och tidsgräns. typesOnly Return attributtyper endast, inte attributvärden.,
servern returnerar matchande poster och potentiellt fortsättningsreferenser. Dessa kan returneras i valfri ordning. Slutresultatet kommer att innehålla resultatkoden.
Jämförelseåtgärden tar ett DN, ett attributnamn och ett attributvärde och kontrollerar om den namngivna posten innehåller attributet med det värdet.
ModifyEdit
MODIFIERINGSOPERATIONEN används av LDAP-klienter för att begära att LDAP-servern gör ändringar i befintliga poster. Försök att ändra poster som inte finns kommer att misslyckas. Ändra begäranden är föremål för åtkomstkontroller som genomförs av servern.,
MODIFIERINGSÅTGÄRDEN kräver att det distinguished name (DN) för posten anges och en sekvens av ändringar. Varje ändring i sekvensen måste vara en av:
- Lägg till (Lägg till ett nytt värde, som inte redan måste finnas i attributet)
- ta bort (ta bort ett befintligt värde)
- ersätt (ersätt ett befintligt värde med ett nytt värde)
LDIF exempel på att lägga till ett värde i ett attribut:
dn: dc=example,dc=comchangetype: modifyadd: cncn: the-new-cn-value-to-be-added-
för att ersätta värdet på ett befintligt attribut, använd ersätt nyckelord., Om attributet värderas flera gånger måste klienten ange värdet för attributet som ska uppdateras.
för att ta bort ett attribut från en post, använd sökordet ta bort och ändringsskrivaren ändra. Om attributet värderas flera gånger måste klienten ange värdet för attributet som ska raderas.
det finns också ett tillägg för att ändra inkrementering som gör det möjligt att öka ett inkrementerbart attributvärde med ett angivet belopp., Följande exempel med LDIF-inkrement employeeNumber by 5:
dn: uid=user.0,ou=people,dc=example,dc=comchangetype: modifyincrement: employeeNumberemployeeNumber: 5-
När LDAP-servrar är i en replikerad topologi bör LDAP-klienter överväga att använda kontrollen efterläsning för att verifiera uppdateringar istället för en sökning efter en uppdatering. Efterläsningskontrollen är utformad så att applikationer inte behöver utfärda en sökbegäran efter en uppdatering – det är dåligt formulär för att hämta en post för det enda syftet att kontrollera att en uppdatering fungerade på grund av replikeringen eventuell konsekvensmodell., En LDAP-klient bör inte anta att den ansluter till samma katalogserver för varje förfrågan eftersom arkitekter kan ha placerat lastbalansare eller LDAP-proxies eller båda mellan LDAP-klienter och servrar.
ändra Dnedit
ändra DN (flytta / byt namn på post) tar det nya RDN (relativa Distinguished Name), eventuellt den nya förälderns DN, och en flagga som anger om du vill ta bort värdet(s) i posten som matchar den gamla RDN. Servern kan ha stöd för att byta namn på hela katalogunderstreck.,
en uppdateringsoperation är atomär: andra operationer kommer att se antingen den nya posten eller den gamla. Å andra sidan definierar LDAP inte transaktioner med flera operationer: om du läser en post och sedan ändrar den kan en annan klient ha uppdaterat posten under tiden. Servrar kan implementera tillägg som stöder detta, dock.
utökad operationsEdit
den utökade åtgärden är en generisk LDAP-operation som kan definiera nya operationer som inte ingick i den ursprungliga protokollspecifikationen. StartTLS är en av de viktigaste förlängningarna., Andra exempel är Avbryt och lösenord Ändra.
StartTLSEdit
StartTLS-operationen etablerar Transportlagersäkerhet (ättling till SSL) på anslutningen. Det kan ge datasekretess (för att skydda data från att observeras av tredje part) och/eller dataintegritetsskydd (som skyddar data från manipulering). Under TLS-förhandling skickar servern sitt X. 509-certifikat för att bevisa sin identitet. Kunden kan också skicka ett certifikat för att bevisa sin identitet. Efter det kan kunden sedan använda SASL / EXTERNAL., Genom att använda SASL / EXTERNAL begär klienten att servern härleder sin identitet från referenser som tillhandahålls på en lägre nivå (t.ex. TLS). Även om servern tekniskt kan använda någon identitetsinformation etablerad på någon lägre nivå, vanligtvis servern kommer att använda identitetsinformation som fastställts av TLS.
servrar stöder också ofta icke-standardiserade ”Ldaps” (”Secure LDAP”, allmänt känt som ”LDAP over SSL”) protokoll på en separat port, som standard 636., LDAPS skiljer sig från LDAP på två sätt: 1) Vid anslutning etablerar klienten och servern TLS innan några LDAP-meddelanden överförs (utan StartTLS-operation) och2) ldaps-anslutningen måste stängas vid TLS-stängning.
vissa klientbibliotek ”ldaps” krypterar bara kommunikation; de kontrollerar inte värdnamnet mot namnet i det medföljande certifikatet.
AbandonEdit
åtgärden överge begär att servern avbryter en operation som heter av ett meddelande-ID. Servern behöver inte hedra begäran. Varken överge eller en framgångsrikt övergiven operation skicka ett svar., En liknande Avbryt utökad operation skickar svar, men inte alla implementeringar stöder detta.
UnbindEdit
Unbind-operationen överger alla utestående operationer och stänger anslutningen. Det har inget svar. Namnet är av historiskt ursprung och är inte motsatsen till Bind-operationen.
klienter kan avbryta en session genom att helt enkelt stänga anslutningen, men de bör använda Unbind. Unbind tillåter servern att graciöst stänga anslutningen och fria resurser som det annars skulle hålla under en tid tills upptäcka klienten hade övergett anslutningen., Det instruerar också servern att avbryta åtgärder som kan avbrytas, och att inte skicka svar för åtgärder som inte kan avbrytas.