remoteapp 目录服务目录服务器的功能

转载

轩辕 2024-07-23 12:51:50

文章标签 remoteapp 目录服务 ibm 服务器 server 数据库服务器 文章分类 机器学习人工智能

Tivoli安全产品: IBM Directory Server目录服务器简介

LDAP 概述
LDAP的英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。它是基于X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。
现在LDAP技术不仅发展得很快而且也是激动人心的。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤。
通过使用 LDAP 协议，客户机将查询发送给 LDAP 服务器（从技术上讲，LDAP 没有“读”功能；客户机通过将搜索请求发送给服务器来“读”目录项）。服务器检查客户机权限（即，客户机有权访问数据库吗？可以读被请求的树吗？可以将信息写入数据库吗？可以删除项吗？），然后返回请求信息。几乎所有的现代编程语言都有 LDAP API，这意味着几乎任何一个软件都可以支持 LDAP。

IBM Directory Server LDAP目录服务器的优势
现在该说说IBM Directory Server LDAP目录服务器（简称：IDS）到底有些什么优势了，现在IDS的流行是很多因数共同作用的结果。

LDAP协议是跨平台的和标准的协议，因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上，LDAP得到了业界的广泛认可，因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持，因为他们根本不用考虑另一端（客户端或服务端）是怎么样的。因为可以用同样的协议、客户端连接软件包和查询命令与IBM Directory Server LDAP目录服务器进行交互。与LDAP不同的是，如果软件产商想在软件产品中集成对DBMS的支持，那么通常都要对每一个数据库服务器单独定制。

IBM Directory Server LDAP目录服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推”到远程的办公室，以增加数据的安全性。复制技术是内置在IDS服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。

IBM Directory Server LDAP目录服务器允许你根据需要使用ACI（一般都称为ACL或者访问控制列表）控制对数据读和写的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由IBM Directory Server LDAP目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。

例如，这些信息存储在IBM Directory Server LDAP目录服务器中是十分有效的：
 公司员工的电话号码簿和组织结构图，员工信息：员工的姓名、登录名、口令、员工号、他的经理的登录名，邮件服务器，等等。
 客户的联系信息，客户联系列表：客户的公司名、主要联系人的电话、传真和电子邮件，等等。
 计算机管理需要的信息，包括NIS映射、email假名，等等
 软件包的配置信息
 公用证书和安全密匙
 物品跟踪信息：计算机名、IP地址、标签、型号、所在位置，等等。
 会议厅信息：会议厅的名字、位置、可以坐多少人、电话号码、是否有投影机。
 食谱信息：菜的名字、配料、烹调方法以及准备方法。
什么时候该用IBM Directory Server目录服务器存储数据？
IBM Directory Server LDAP目录服务器是为读密集型的操作进行专门的优化。因此，当从IDS服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化，大多数的LDAP目录服务器并不适合存储需要需要经常改变的数据。例如，用IDS服务器来存储电话号码是一个很好的选择，但是它不能作为电子商务站点的数据库服务器。

如果下面每一个问题的答案都是“是”，那么把数据存在IBM Directory Server LDAP服务器中就是一个好主意。
 需要在任何平台上都能读取数据吗？
 每一个单独的记录项是不是每一天都只有很少的改变？
 可以把数据存在平面数据库（flat database）而不是关系型数据库中吗？换句话来说，也就是不管什么范式不范式的，把所有东西都存在一个记录中（差不多只要满足第一范式）。
一个简单的判断方法：如果可以把保数据存在一张张的卡片里，就可以很容易地把它存在IBM Directory Server LDAP服务器目录里。
IBM Directory Server LDAP目录服务器技术特性详细描述
IBM Directory 实现因特网工程任务组（IETF）LDAP V3 规范。它还包含 IBM 在功能和性能领域作的强化。此版本使用 IBM DB2(R) 作为后备存储以提供每 LDAP 操作事务完整性、高性能操作和联机备份及恢复能力。它同基于 IETF LDAP V3 的客户机进行互操作。主要的功能部件包括：
• IBM Directory 的管理和配置是通过图形用户界面（GUI）提供的。管理和配置功能允许管理员：
o 执行目录的初始设置
o 更改配置参数和选项
o 管理目录的日常操作，如添加或编辑对象（例如，对象类、属性和条目）。
• 可动态扩展的目录模式 — 这意味着管理员可以定义新属性和对象类以增强目录模式。也可对目录模式进行更改，不过要服从一致性检查。用户不必重新启动目录服务器就可动态地修改模式内容。由于模式本身是目录的部件，所以模式更新操作是通过标准 LDAP API 完成的。LDAPv3 动态可扩展模式提供的主要功能为：
o 通过 LDAP API 的可查询模式信息
o 通过 LDAP API 的动态模式更改
o 服务器 rootDSE
o 使用 LDAP API 的动态配置更改
• UTF-8（通用字符集转换格式）— IBM Directory Server 支持多种语言版本的数据，并且允许用户使用本机语言代码页来存储、检索和管理信息。
• 简单认证和安全性层（SASL）— 为附加认证机制提供此支持。安全套接字层（SSL）对数据提供加密，并使用 X.509v3 公用密钥证书来进行认证。可以配置服务器具有或不具有 SSL 支持运行。
• 复制 — 支持复制，它使附加的目录只读拷贝可用，并提高目录服务的性能和可靠性。
• 参照 — 支持 LDAP 参照，允许在多个 LDAP 服务器中分布目录，其中单个服务器可以仅包含整个目录数据的一个子集。
• 访问控制模型 — 通过 ACL 支持功能强大且易于管理的访问控制模型。
• 更改日志
• 密码策略
• 安全性审计记录