调试易

LDAP目录系统和多层名字空间模型
X.500系列[7][4]是由ITU-T与ISO/IEC合作制定的分布式目录服务标准，它定义了一个目录服务的标准模型，包括信息模型、名字空间、功能模型、访问控制、目录复制和目录协议。其中目录访问协议DAP是构建在OSI七层协议基础之上的。图1显示了X.500信息模型中的目录信息树。　　X.500目录信息模型中每个节点称为项(Entry)，每个项包含多个属性（Attribute），每个属性包含一个类型（Type）和多个属性值。每个项包含一个对象类属性（objectclass）指示项的类型，该类型决定了该项存在那些属性，每个属性可以取哪些值，这些信息称为项的模式。多个项构成一个层次的树形结构，通过一个称为区别名（DN）的名字来区别目录树中的各个项，而X.500协议中的目录操作也是基于区别名字的，作为一个项的标识符来定位需要操作的项。
　　由于X.500标准中的目录访问协议(DAP)是基于OSI七层模型的，而OSI模型在现实中缺少应用，IEIF制定了轻量级目录访问协议(LDAP)来提供基于TCP/IP网络协议上的目录访问。LDAP只是定义了客户和服务实现方的交互协议，给后台目录服务的实现提供了很大的实现空间，后台的实现可以集成原来的满足X.500的目录服务，也可以设计成一个特殊的目录服务器，这样通过LDAP协议可以集成各种现存的目录服务，包括NDS、Active Directory Service等等。现在，LDAP已经成为了Internet上的目录服务的标准。
　　
多层名字空间模型是基于现有的多个名字系统构造而成的一个复杂的命名系统，图2是一个采用X.500名字空间和NDS、LDAP复合而成的一个多层次命名和目录系统模型。　　在该模型中，X.500名字空间中的目录由两个分支，一个连接到一个LDAP类型的名字系统中，另一个连接到NDS类型的名字系统中，而两个目录系统又连接其他的名字和目录系统。事实上任何上层的名字系统的目录或名字可以创建到任何其他名字系统中的分支，比如LDAP名字系统可以由连接至文件系统的分支，而NDS也可以有连接到其他名字系统的分支。这样构造的多层次名字空间系统对用户来说就相当于一个名字系统，用户通过名字能够跨越多个名字空间访问到下层命名系统中的节点，而不用考虑多层名字空间如何构造的，也不用考虑如何区别不同的子名字空间问题。在多名字空间系统处理中，最重要的几个问题包括：多个名字系统边界的区别、下一个需要处理的名字系统的定位、后续操作的继续处理和操作处理上下文的维持。

LDAP允许根据需要使用ACI（一般都称为ACL或者访问控制列表）控制对数据读和写的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。请问在代码中如何定义ACL以满足用户的特殊需求呢?

LDAP适合存放像用户名等这种记录条数多而数据量小的数据，如用户登陆数据，用户配置数据等。其数据是树状结构的项值对，所以其查找是比较特别的。

up 下！我觉的ldap适合存update不频繁的数据！