在kerberos认证过程中Active Directory的作用

LDAP介绍

1），ladp（Lightweight Directory Access Protocol），轻量级目录访问协议，提供被称为目录服务的信息服务，特别是基于X.500（构成全球分布式的目录服务系统的协议）的目录服务。

2），ldap运行在TCP/IP或者其他面向连接的传输服务上。

3），ldap同时是一个IETF标准跟踪协议，在“轻量级目录访问协议（ldap）技术规范路线”RFC4510中被指定。

4），ldap软件来源于OpenLDAP项目，该项目是一个由志愿者组成的团队，官网网址：http://www.openldap.rog

LDAP文件结构

LDAP信息模型是基于条目来组织的，一个条目是一个属性的集合，有一个全球唯一的识别名（DN，Domain Name）。DN用于标识条目，每个条目的属性有一个类型和一个或多个值。

该类型通常是可记忆的字符串，如“cn”就是标识通用名称，或者“电子邮件”就是电子邮件地址。该类型值的语法依赖于属性类型。例如，一个cn属性可以包含一个值tom jack，一个mail

属性可以包含值“tom@example.com”。

在LDAP文件结构中，目录条目都被排列在一个分层树形结构。一般来说，这种结构反映了地域和/或组织界限，这种层级关系如图：

树也可以根据互联网域名组主，这种命名方式目前非常普遍，因为他允许使用DNS为目录服务定位，如下图：

kerberos认证原理

kerberos组件

与MIT发布的Kerberos V5产品类似，Oracle Solaris 发行版的Kerberos服务也包括一下内容：

1），密钥分发中心（Key Distribution Center，KDC）

kerberos数据库管理守护进程--kadmind。

kerberos票据处理守护进程--krb5kdc.

数据库管理程序---kadmin（仅主KDC）、kadmin.local 和kdb5_util.

数据库传播软件---kprop（仅从KDC）和kpropd。

2），用于管理凭证的用户程序---kinit、klist和kdestroy。

3），用于更改kerberos口令的用户程序---kpasswd。

4），远程应用程序---ftp、rcp、rlogin、rsh、ssh和telnet。

5），远程应用程序守护进程---ftpd、rlogind、rshd、sshd和telnetd。

6），密钥表管理实用程序---ktutil。

7），通用安全服务应用编程接口(Generic Security Service Application ProgrammingInterface, GSS-API)－允许应用程序使用多种安全机制，并且不需要在每次添加新机
制时重新编译应用程序。GSS-API 使用标准接口，允许将应用程序移植到多种操作系统上。使用GSS-API，应用程序可包括完整性和保密性安全服务以及验证。ftp和ssh 均使用GSS-API。

8），RPCSEC_GSS 应用编程接口(Application Programming Interface, API)－允许NFS 服务使用Kerberos 验证。RPCSEC_GSS 是一种安全特性，可提供与要使用的机制无关的
安全服务。RPCSEC_GSS 位于GSS-API 层的顶部。使用RPCSEC_GSS 的应用程序可以使用所有基于可插拔GSS_API 的安全机制。

此外，Oracle Solaris 发行版的Kerberos 服务还包括以下内容：

9），一个基于GUI 的Kerberos 管理工具(gkadmin)－允许您管理主体和主体策略。这一基于Java 技术的GUI 是kadmin 命令的替代方法。

10），PAM的Kerberos V5 服务模块－为Kerberos 服务提供验证、帐户管理、会话管理和口令管理。使用该模块可使Kerberos 验证对用户而言透明化。

11），内核模块－提供kerberos 服务的基于内核的实现以供NFS 服务使用，这可大大提高性能。

Active Directory和LDAP基本概念

1），Active Directory是一个基于 Windows 环境中提供身份验证，目录，策略和其他服务的数据库系统， LDAP ( Lightweight Directory Access Protocol轻型目录访问协议) 是一个应用程序协议，用于查询和修改目录服务提供程序( 如 Active Directory ) 中的项目，它支持一种形式的LDAP 。

简而言之：AD是一个目录服务数据库，而LDAP是你可以用来与之交谈的协议之一。

2），LDAP是一个标准，AD是微软的（专用的）实现（等等），也可以理解成是基于LDAP的目录服务器的微软的实现。LDAP是目录数据的协议规范。AD还具有

自定义的扩展ontop版本，如账户锁定，密码过期等。

3），Active Directory是（以一种过于简化的方式）提供基于kerberos授权的基于LDAP的身份验证的服务。当然AD中的LDAP和kerberos实现与其他LDAP/Kerberos

实现不完全兼容。

4），Active Directory 是一个目录服务提供程序，可以将新用户添加到目录中，删除或者修改，指定privilages，指定策略等等，就像每个人都有唯一的联系人号码一样，AD（Active Directory）中的每一个东西都被视为对象，每个对象都有一个唯一的标识。

LDAP 是专门为目录服务提供商设计的协议。windows server 操作系统使用AD最为目录服务器，AIX是一个UNIX版本，它使用了Tivoli directory server 。它们都使用LDAP协议与目录交互。

5），active directory 是用来存储基于组织的数据，策略，身份验证的目录服务数据库，而ldap是用来与ad或者adam进行通讯的目录服务数据库。

6），LDAP位于 tcp/ip栈的顶部，并控制互联网目录访问。 它是环境无关的。AD & ADSI是一个围绕LDAP层的包装器，它是 Windows 特定的。

7），有很多系统支持LDAP与他们交谈，而不仅仅是Active Directory。Sun，IBM，Novell所有的目录服务器都是非常有效的LDAP服务器。

8），LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写，LDAP标准实际上是在X.500标准基础上产生的一个简化版本。AD是Active  Directory的缩写，

9），AD应该是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题， 只是AD顺便还提供了用户接口，也可以利用Active Directory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这 些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使 得Active Directory也成了一个LDAP服务器。 总之：Active Directory = LDAP服务器＋LDAP应用（Windows域控）。Active Directory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。